76997655 Preguntas Modulo I y II

7/30/2019 76997655 Preguntas Modulo I y II

http://slidepdf.com/reader/full/76997655-preguntas-modulo-i-y-ii 1/74

Pregunta Reespuesta adecuada

I Después de la investigación inicial, un auditor de SItiene motivos para creer que puede estar en presenciade fraude. El auditor de SI debe:

Las responsabilidades de un auditor de SI de detectar el fraude incluye evaluar los indicadores de fraude y decidir si eadicional o si se debe recomendar una investigación. El auditor de SI debe notificar a las autoridades apropiadas dsolamente si ha determinado que los indicadores de fraude son suficientes para recomendar una investigación. Normno tiene autoridad para consultar con un asesor legal externo.

I La ventaja PRIMARIA de un enfoque continuo deauditoría es que:

El uso de técnicas continuas de auditoría puede en realidad mejorar la seguridad del sistema cuando scomparten el tiempo que procesan un gran número de transacciones, pero dejan muy pocas pistas de papel. Lya que el enfoque de auditoría continua a menudo requiere que un auditor de SI recolecte evidencia sobre la mientras está llevando a cabo el procesamiento. La opción B es incorrecta ya que un auditor de SI normalmseguimiento sólo a las deficiencias materiales o errores detectados. La opción D es incorrecta ya que el usocontinua depende efectivamente de la complejidad de los sistemas de computadora de una organización.

I ¿Cuál de las opciones siguientes es la técnica deauditoría MÁS efectiva para identificar violacionesa la segregación de funciones en una nuevaimplementación de un sistema de planificación derecursos de empresa (ERP)?

Debido a que el objetivo es identificar violaciones a la segregación de funciones, es necesario definir la lógconflictos en la autorización. Se podría desarrollar un programa para identificar estos conflictos. Un informe de dersistema de planificación de los recursos de la empresa (ERP) sería voluminoso y requeriría mucho tiempo para su rtécnica no es tan efectiva como la creación de un programa. A medida que las complejidades aumentan, se vuelvefectividad de los sistemas, y la complejidad no está vinculada por sí sola a la segregación de funciones. Es buena recientes de violación de derechos; sin embargo, pudiera requerir una cantidad de tiempo significativa el verdaderviolaciones resultaron realmente de una segregación inapropiada de funciones.

I El estatuto de auditoría de SI de una organizacióndebería especificar:

El estatuto de auditoría de SI establece el rol de la función de auditoría de sistemas de información. El estatautoridad general, el alcance y las responsabilidades de la función de auditoría. Debería ser aprobado por el másde estar disponible, por el comité de auditoría. La planificación de corto y largo plazo es responsabilidad de la objetivos y el alcance de cada auditoría de SI deberían acordarse en una carta de compromiso. La gestión de audito plan de entrenamiento, basado en el plan de auditoría.

I Un auditor de SI está realizando una auditoría a unservidor de copias de respaldo administrado desdeuna ubicación remota. El auditor de SI revisa los logsde un día y descubre un caso en el cual el inicio de

sesión en un servidor falló con el resultado de queno se pudo confirmar los reinicios de la copia derespaldo. ¿Qué debería hacer el auditor?

Los estándares de auditoría requieren que un auditor de SI recopile evidencia de auditoría suficiente y apropiada. problema potencial y ahora necesita determinar si se trata de un incidente aislado o una falla sistemática de control. En pronto para emitir un hallazgo de auditoría; la acción de solicitar una explicación a la gerencia es aconsejable, pevidencia adicional para evaluar apropiadamente la seriedad de la situación. Una falla de respaldo, que no se ha

es

seria si

involucra

datos

críticos.

Sin

embargo,

el

asunto

no

es

la importancia

de

los

datos

presentes

en

el

serv problema, sino la posibilidad de que exista una falla sistemática de control que tenga un impacto en otros servidores.



I Un Contrato de auditoría debería: Un contrato de auditoría debería establecer los objetivos de la gerencia para, y la delegación de autoridad a contrato no debería cambiar de manera significativa con él tiempo y debería ser aprobado al nivel más alto de laauditoría no estaría a un nivel de detalle y por lo tanto no incluiría objetivos o procedimientos específicos de auditoría.

I Un auditor de SI revisa un organigramaPRIMARIAMENTE para:

Un organigrama provee información sobre las responsabilidades y la autoridad de personas en la organización. Estosaber si hay una segregación apropiada de funciones. Un diagrama de flujo de trabajo proporcionaría informacióndiferentes empleados. Un diagrama de red proveerá información sobre el uso de diversos canales de comunicación e inusuarios a la red.

I En una auditoría de SI de varios servidores críticos, elauditor quiere analizar las pistas de auditoría paradescubrir potenciales anomalías en elcomportamiento de usuarios o del sistema. ¿Cuál delas herramientas siguientes es la MÁS adecuada pararealizar esa tarea?

Las herramientas de detección de tendencias /varianzas buscan anomalías en el comportamiento de usuarios o d

determinando para los documentos prenumerados si los números son secuenciales o incrementales. Las herramieasistir en el desarrollo de software. El software integrado de recolección de datos (auditoría) se usa para tomar estadísticas de producción. Las herramientas heurísticas de escaneo se pueden usar para escanear en busca de v posiblemente infectados.



I Un auditor de SI emite un reporte de auditoría señalando la falta de funciones de protección de firewall en elgateway perimetral de red y recomienda un producto de vendedor para resolver esta vulnerabilidad. El auditor de SI no haejercido:

Cuando un auditor de SI recomienda un vendcomprometen la independencia profesional.organizacional no tiene relevancia con respecto

I Un auditor de SI que realiza una revisión de los controles de aplicación evaluaría: Un control de revisión de aplicaciones implicacontroles automatizados de la aplicación ycualesquiera exposiciones resultantes de las de

I

Mientras se

planifica

una

auditoría,

se

debe

hacer

una

evaluación

del

riesgo

para

proveer:

El Lineamiento de Auditoría de SI G15 de ISAC

estados de auditoría de SI, "Se debe hacer unaara proveer aseguramiento razonable de que los

I Un auditor de SI debe usar muestreo estadístico, y no muestreo de opiniones (no estadístico) cuando: Dada una tasa esperada de error y nivel de estadístico es un método objetivo de muestreo, de SI a determinar el tamaño de la muestr

I Un auditor de SI ha importado datos de la base de datos del cliente. El paso siguiente para confirmar si los datosimportados están completos se lleva a cabo:

Comparar los totales de control de los datos impde control de los datos originales es el siguiente pconfirma la integridad de los datos importados. N

I Mientras lleva a cabo una auditoría, un auditor de SI detecta la presencia de un virus. ¿Cuál debe ser el paso siguiente delauditor de SI?

La primera cosa que un auditor de SI debe hacer irus es alertar a la organización sobre su preseespuesta. La opción A debe ser emprendida de

I Durante la recolección de evidencia forense, ¿cuál de las acciones siguientes tiene MÁS posibilidades de causar ladestrucción o corrupción de evidencia en un sistema comprometido?

Reiniciar el sistema puede causar un cambio en e pérdida de archivos y evidencia importante almacLas otras opciones son acciones apropiadas para p

I ¿Cuál de las opciones siguientes es el beneficio clave de la autoevaluación de control (CSA)? El objetivo de la autoevaluación de control es del negocio a estar más consciente de la imporinterno y de su responsabilidad en términos del

I ¿Cuál de las siguientes formas de evidencia para el auditor se consideraría la MÁS confiable? La evidencia obtenida de fuentes externas esconfiable que la obtenida desde dentro de la ode confirmación recibidas desde el exterior, como



I Los diagramas de flujo de datos son usados por losAuditores de SI para:

Los diagramas de flujo de datos se usan como ayudas para graficar o diagramar el flujo y almacenamiento de datos, con ellos se rastrean lhasta su destino, resaltando las rutas y el almacenamiento de los datos. Los diagramas de flujo no ordenan los datos en ningún orden jedatos no coincidirá necesariamente con ningún orden jerárquico o de generación de datos.

I En una auditoría de una aplicación de inventario ,¿qué enfoque proveería la MEJOR evidencia de quelas órdenes de compra son válidas?

Para determinar la validez de una orden de compra, probar los controles de acceso proveerá la mejor evidencia. Las opciones B y C posteriores a los hechos, mientras que la opción D no sirve el propósito porque lo que está en la documentación de sistema puede nque está ocurriendo.

I ¿Cuál de los siguientes métodos de muestreo es elMÁS útil cuando se pone a prueba sucumplimiento?

El muestreo de atributos es el método primario de muestreo que se usa para comprobar el cumplimiento. El muestreo de atributos es un mse usa para estimar la tasa de ocurrencia de una calidad especifica (atributo) en una población y se usa en la comprobación confirmar si esta calidad existe o no. Las otras elecciones se usan en comprobaciones substantivas que involucran la comprobación de detalle

I ¿Qué técnica de auditoría provee la MEJOR evidencia de la segregación de funciones en undepartamento de SI?

Observando el personal de SI cuando realiza sus tareas, el auditor de SI puede identificar si ellos están realizando operaciones no compatibles y entrevistaauditor puede obtener un panorama general de las tareas realizadas. Basado en las observaciones y entrevistas, el auditor puede evaluar la segregación de puede estar en conocimiento de las funciones detalladas de cada empleado en el departamento de SI, por lo tanto, la discusión con la gerencia proveería srespecto a la segregación de funciones. Un organigrama no proveería detalles de las funciones de los empleados y la prueba de los derechos de usuari

sobre los derechos que ellos tienen dentro de los sistemas de SI, pero no

I ¿Las decisiones y las acciones de un auditor esMÁS probable que afecten a cuál de los riesgossiguientes?

Un riesgo de detección está directamente afectado por la selección, por parte del auditor, de los procedimientos y técnicas de auditoría. Lolo general no están afectados por el auditor de SI. Un riesgo de control es controlado por las acciones de la gerencia de la financieros no están afectados por el auditor de SI.

I

Una acción correctiva ha sido tomada por unauditado inmediatamente después de laidentificación de un hallazgo que debería ser

Incluir el hallazgo en el reporte final es una práctica de auditoría generalmente aceptada. Si se emprende una acción después de que comede que terminara, el reporte de auditoría debe identificar el hallazgo y describir la acción correctiva tomada. Un reporte de audsituación, tal como ésta existía en el comienzo de la auditoría. Todas las acciones correctivas emprendidas por el auditado deben ser reportada

I Durante una auditoría de control de cambios den sistema en producción, un auditor de SI

descubre que el proceso de administración de

Un proceso de gestión de cambios es crítico para los sistemas de producción de TI.Antes de recomendar que la organización tome ejemplo, interrumpir las migraciones, rediseñar el proceso de gestión de cambios), el auditor de SI debería obtener garantía de que los relacionan con deficiencias en el proceso de gestión de cambios y que no fueron causados por algún proceso diferente a la gestión de cambio

I ¿Cuál de las siguientes opciones sería normalmentela evidencia MÁS confiable para un auditor?

La evidencia obtenida de terceros independientes casi siempre es considerada la más confiable. Las respuestas B, C y D no serian considerada

I El propósito PRIMARIO de una auditoría forensede TI es:

La opción B describe una auditoría forense. La evidencia recolectada podría utilizarse posteriormente en procesos judiciales. Las aulimitan a fraude corporativo. Evaluar la exactitus de los estados financieros de una organización no es el propósito de una auditorconclusión de que se registró un delito sería parte de un proceso legal y no el objetivo de una auditoría forense.



I Un auditor de SI está evaluando una red corporativa en busca de una posible penetración por parte de empleados internos. ¿Cuál de los hallazgos siguientesdebería preocupar MÁS al auditor de SI?

El aprovechamiento de un ID y contraseña de usuario conocidos requiere mínimos conocimientos térecursos de la red a la explotación(maliciosa ) . La barrera técnica es baja y el impacto puede ser muy elevado; por lo tanto, el hecho de quengan contraseñas idénticas representa la mayor amenaza. Los módems externos representan un rie

I Un auditor de SI que participó en el diseño del plan de continuidad del negocio(BCP) de una empresa, ha sido asignado para auditar el plan. El auditor de SIdebería:

Comunicar la posibilidad de conflicto de interés a la gerencia antes de comenzar la asignación Se debería comunicar un posible conflicto de interés, que pudiera afectar la independencia del audicomenzar la asignación. Rechazar la asignación no es la respuesta correcta, porque se podría aceptar obtener la a robación de la erencia. Informar a la erencia sobre el osible conflicto de interés d

I

Mientras revisaba

los

papeles

de

trabajo

electrónico

sensitivos,

el

auditor

de

SInotó que los mismos no estaban encriptados. Esto podría comprometer: La

encripción

prueba

la

confidencialidad

de

los

papeles

de

trabajo

electrónicos.

Las

pistas

de

auditoría,etapa de auditoría y el acceso a los papeles de trabajo, por sí mismos, no afectan la confidencialidad sin

motivo para requerir la encripción.

I La razón PRIMARIA por la que un auditor de SI realiza un recorrido funcionaldurante la fase preliminar de una asignación de auditoría es:

Entender el proceso de negocio es el primer paso que un auditor de SI necesita realizar. Las normauditor de SI efectúe un recorrido de proceso. Identificar las debilidades de control no es la razón prípicamente ocurre en una etapa posterior en la auditoría. Planear pruebas sustantivas se realiza en

I Al planear una auditoría, el paso MÁS crítico es la identificación de: Cuando se diseña un plan de auditoría, es importante identificar las áreas de más alto riesgo paser auditadas. Los conjuntos de habilidades del personal de auditoría deberían haberse consideradescoger la auditoría. Los pasos de prueba para la auditoría no son tan críticos como identificar l

I

¿Cuál de los siguientes es una ventaja de una prueba integrada (ITF)? Una prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prula entrada en vivo. Su ventaja es que las pruebas periódicas no requieren procesos separados denecesaria una planeación cuidadosa y los datos de prueba deben ser aislados de los datos de producció

I n auditor de SI evalúa los resultados de prueba de una modificación a un sistemaue trata con cómputo de pagos. El auditor encuentra que el 50% de los cálculos nooinciden con los totales predeterminados. ¿Cuál de los siguientes es MÁS probable

El auditor de SI debería luego examinar casos donde ocurrieron cálculos incorrectos y cDespués de que los cálculos hayan sido confirmados, más pruebas pueden ser llevadas a cabo y de reportes, hallazgos y recomendaciones no se haría hasta que todos los resultados fueran confirmad

I Durante una entrevista final, en los casos en que hay desacuerdo con respecto alimpacto de un hallazgo, un auditor de SI debe:

Si el auditado esta en desacuerdo en cuanto al impacto de un hallazgo, es importante que el auditor de a conocer los riesgos que el auditado no ha valorado y la magnitud de su exposición. El objetiauditado o descubrir nueva información que el auditor de SI no haya contemplado. Cualquier

I La decisión final de incluir un hallazgo material en un informe de auditoría debe ser tomada por el:

El auditor de SI debe tomar la decisión final respecto a qué incluir o excluir del informe de audlimitarían la independencia del auditor.



I A pesar de que la gerencia ha dicho otra cosa, un auditor de SI tiene motivos para creer que laorganización está usando software que no tiene licencia. En esta situación, el auditor de SI debe:

Cuando hay una indicación de que una organización podría estar usando software sI debe obtener evidencias suficientes antes de incluirlo en el informe. Con respanifestaciones obtenidas de la gerencia no pueden ser verificadas de mane

I ¿Cuál de las siguientes técnicas de auditoría en línea es MÁS efectiva para la detección temprana deerrores o irregularidades?

a técnica de gancho de auditoría implica integrar el código en los sistemas de aplicaciransacciones seleccionadas. Esto ayuda a un auditor de SI a actuar antes de rregularidad se salgan de control. Un módulo integrado de auditoría implica i

I El vicepresidente de recursos humanos ha solicitado una auditoría para identificar lossobrepagos de planilla/nómina para el año anterior.¿Cuál sería la MEJOR técnica de auditoría para usar en esta situación?

as características del software generalizado de auditoría incluyen cómputos mate

nálisis estadístico, verificación de secuencia, verificación de duplicados y recálcsando software generalizado de auditoría, podría diseñar pruebas apropiad

I El éxito de la autoevaluación de control (CSA) depende grandemente de: l objetivo primario de un programa de autoevaluación de control (CSA) es auditoría interna cambiando algunas de las responsabilidad de monitoreo de cínea de área funcional. El éxito de un programa de CSA depende del grado al q

I ¿Cuál de los siguientes es un beneficio de un método de planeación de auditoría basado en el riesgo? l método basado en el riesgo está diseñado para asegurar que el tiempo de audas áreas de mayor riesgo. El desarrollo de un cronograma de auditoría no estáasado en el riesgo. Los cronogramas de auditoría pueden ser preparados con mese

I Durante la etapa de planificación de una auditoría de SI, la meta PRIMARIA de un auditor de SI es: as normas de auditoría de ISACA requieren que un auditor de SI planee el tresolver los objetivos de auditoría. La opción B es incorrecta porque el auditor ntapa de planificación de una auditoría. Las opciones C y D son incorrectas por

I Un beneficio PRIMARIO para una organización que emplea técnicas de auto evaluación decontroles (control self-assessment-CSA), es que ella:

a CSA se predica sobre la revisión de las áreas de alto riesgo que o bien necesitan evisión más exhaustiva en una fecha posterior. La respuesta B es incorrecta porarticipación de tanto los auditores como la gerencia de línea. Lo que ocurre

I Cuando selecciona los procedimientos de auditoría, un auditor de SI debe usar su juicio profesional para asegurar que:

os procedimientos son procesos que un auditor de SI puede seguir en un comproeterminar si cualquier procedimiento específico es apropiado, un auditor de Srofesional apropiado a las circunstancias específicas. El juicio profesional iub etiva a menudo cualitativa de las condiciones ue sur en en el curso de un

I ¿Cuál de los siguientes es un atributo del método de autoevaluación de control (CSA)? l método de autoevaluación de control (CSA) hace énfasis en la administración y euentas de desarrollar y monitorear los controles de los procesos de negocio de tributos de CSA incluyen: empleados facultados, mejoramiento continuo, e



I Un auditor de SI está revisando el acceso a una aplicación para determinar si los 10formularios "nuevo usuario" más recientes fueron correctamente autorizados. Este es un ejemplo de:

La prueba de cumplimiento determina si los controles se están aplicando de Esto incluye pruebas para determinar si las nuevas cuentas fueron debidamentede variables se usa para estimar los valores numéricos, tales como valo

I ¿Cuál de las siguientes sería la MEJOR población de la cual tomar una muestra cuando un programaen pruebas cambia?

La mejor fuente de la cual extraer cualquier ejemplo o prueba de un sistesistema automatizado. Las bibliotecas de producción representan ejecutableautorizados para procesar los datos de la organización. Los listados de programa fu

I Durante una revisión de implementación de una aplicación distribuida multiusuario, el auditor deSI encuentra debilidades menores en tres áreas-La disposición inicial de parámetros está instaladaincorrectamente, se están usando contraseñas débiles y algunos reportes vitales no se están

Las debilidades individualmente son de menor importancia, sin embargo, jundebilitar sustancialmente la estructura general de control. Las opciones A y D reauditor de SI para reconocer el efecto combinado de la debilidad de control. A

I Cuando prepara un informe de auditoría, el auditor de SI debe asegurarse que los resultados esténsoportados por:

El estándar de ISACA sobre "informes" requiere que el auditor de SI tenga evidenapropiadas para soportar los resultados que se reportan. Las declaraciones de la

ase para obtener concurrencia sobre asuntos que no pueden ser verificados

I Un auditor de SI que entrevista a un empleado de planilla encuentra que las respuestas norespaldan las descripciones de los puestos de trabajo y los procedimientos documentados. Bajoestas circunstancias, el auditor de SI debe:

Si las respuestas dadas a las preguntas de un auditor de SI no están confirmdocumentados o descripciones de puestos de trabajo, el auditor de SI debe exruebas de los controles e incluir más pruebas sustantivas. No hay evidencia

I La PRINCIPAL ventaja del enfoque de evaluación del riesgo sobre el enfoque de línea base para lagerencia de seguridad de información es que éste asegura que:

Una evaluación completa del riesgo determina el nivel apropiado para un nivel dadenfoque de la línea base aplica meramente un conjunto estándar de protección indHay una ventaja de costo en no sobreproteger la información. Sin embargo

I En el proceso de evaluar los controles de cambio de programa, un auditor de SI usaría software decomparación de código fuente para:

Un auditor de SI tiene un objetivo, aseguramiento independiente y relativamenterograma porque la comparación de códigos fuente identificará los cambios. La op

los cambios hechos desde la adquisición de la copia no están incluidos en la copia d

I ¿Cuál de las opciones siguientes debería utilizar un auditor de SI para detectar registros duplicadosde facturas dentro de un archivo maestro de facturas?

El Software genérico de auditoría (GAS) permite al auditor revisar todo el archilos elementos que cumplan con los criterios de selección. El muestreo de atribuegistros que cumplen con condiciones específicas, pero no compara un registr

I Un auditor de SI está revisando la evaluación del riesgo de la gerencia, de los sistemas deinformación. El auditor de SI debe PRIMEROrevisar:

Uno de los factores clave a ser considerados mientras se evalúan los riesgos relacionsistemas de información son las amenazas y las vulnerabilidades que afectan aelacionados con el uso de activos de información deben ser evaluados aisl



I En el curso de la realización de un análisis de riesgo, un auditor de SI ha identificadoamenazas e impactos potenciales. Inmediatamente después, un auditor de SI debe:

Es importante que un auditor de SI identifique y evalúe los controles y la seguridaamenazas potenciales y los impactos posibles están identificados. Al concluirse unadebe describir y discutir con la gerencia las amenazas y los impactos potenciales sob

I Cuando se evalúa el diseño de los controles de monitoreo de red, un auditor de SI debe PRIMEROrevisar:

El primer paso para evaluar los controles de monitoreo de red debe ser la rela documentación de red, específicamente los diagramas de topología. Si estaactualizada, entonces los procesos de monitoreo y la capacidad para diagnosticar pr

I ¿Cuál de las siguientes es la ventaja PRINCIPAL de usar software forense de computación para lasinvestigaciones?

l objetivo primario del software forense es preservar la evidencia electrónica pvidencia. La opción B, los ahorros en tiempo y en costos, y la eficiencia y la ef

eficacia, son preocupaciones legítimas y diferencian a los paquetes buenos de

I Se asigna a un auditor de sistemas para que realice una revisión de un sistema de aplicación posterior a la implementación. ¿Cuál de las siguientes situaciones puede haber comprometido laindependencia del auditor de sistemas? El auditor de SI:

e puede comprometer la independencia si el auditor de sistemas está o ha estado l desarrollo, adquisición, e implementación del sistema de aplicación. Las opcioue no comprometen la independencia del auditor de sistemas. La opción

I ¿Cuál de las opciones siguientes utilizaría un auditor de SI para determinar si se realizaronmodificaciones no autorizadas a los programas de producción?

ara determinar que sólo se han realizado modificaciones autorizadas a los ería necesario revisar el proceso de gestión de cambios para evaluar la evidencia documental. Las pruebas de cumplimiento ayudarían a verificar qu

I La razón MÁS importante para que un auditor de SI obtenga evidencias suficientes y apropiadas deauditoría es:

l alcance de una auditoría de SI está definido por sus objetivos. Esto implica iontrol relevantes para el alcance de la auditoría. Obtener evidencias suficientes y apdentificar las debilidades de control pero también a documentarlas y validarlas.

I El propósito PRIMARIO de las pistas de auditoría es: abilitar pistas de auditoría ayuda a establecer la obligación de rendir cuentas ransacciones procesadas, rastreando transacciones a través del sistema. El objetivroveer pistas de auditoría no es mejorar la eficiencia del sistema, ya que e

I Cuando desarrolla una estrategia de auditoría basada en el riesgo, un auditor de SI debe llevar a cabouna evaluación del riesgo para asegurar que:

l desarrollar una estrategia de auditoría basada en el riesgo, es crítico que los riean entendidos. Esto determinará las áreas a ser auditadas y el grado de costablecidos los controles apropiados requeridos para mitigar los riesgos es u

I Una prueba sustantiva para verificar que los registros de inventario de biblioteca de cinta soncorrectos es:

Una prueba sustantiva incluye recolectar evidencia para evaluar la integridad de las tlos datos y otra información. Llevar a cabo un conteo físico del inventario de cintas opciones A, B y D son pruebas de cumplimiento.



I Para asegurar que los recursos de auditoría entreguen el mejor valor a la organización, el PRIMER paso sería:

Monitorear el tiempo (la opción A) y auditar los programas (opción D), así comadecuado (opción B) mejorarán la productividad del personal de auditoría de ero lo que entrega valor a la organización son los recursos y esfuerzos qu

I El propósito PRIMARIO para reunirse con los auditados antes de cerrar formalmente una revisión es: El propósito PRIMARIO para reunirse con los auditados antes de cerrar formalma un acuerdo sobre los hallazgos. Las otras opciones, a pesar de estar relacionadasauditoría, son de importancia secundaria.

I El grado hasta donde los datos serán recolectados durante una auditoría de SI debería ser determinado basado en:

El grado hasta donde los datos serán recolectados durante una auditoría

directamente con el alcance y el propósito de la auditoría. Una auditoría que tengaestrechos lo más probable es que tendría como consecuencia menos recol

I El riesgo general del negocio para una amenaza en particular se puede expresar como: La opción A toma en consideración tanto la probabilidad como la magnitud deedida del riesgo para un activo. La opción B provee únicamente la probabil

explote una vulnerabilidad en el activo pero no provee la magnitud del posible

I Un auditor de SI que lleva a cabo una revisión del uso y licenciamiento de software descubreque numerosas PCs contienen software no autorizado. ¿Cuál de las siguientes acciones deberíaemprender el auditor de SI?

El uso de software no autorizado o ilegal debe estar prohibido en una organización.como consecuencia la exposición inherente y puede resultar en severas multas. El al usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el

I ¿Cuál de las siguientes es la razón MÁS probable de por qué los sistemas de correoelectrónico se han convertido en una fuente útil de evidencia en litigios?

Los archivos de respaldo contienen documentos, que supuestamente han secuperados de estos archivos. Los controles de acceso pueden ayudar a estab

cuenta de la emisión de un documento en particular, pero esto no provee evidencia

I ¿Cuál de las siguientes es una prueba sustantiva? Una prueba sustantiva confirma la integridad del procesamiento real. Una prueblos registros de la biblioteca de cintas están establecidos correctamente. Undetermina si se están aplicando los controles de una forma consistente con la

I Una prueba integrada (integrated test facility-ITF) se considera una herramienta útil de auditoría porque:

Una facilidad de prueba integrada se considera una herramienta útil de auditorogramas para comparar el procesamiento usando datos calculados de manera

establecer entidades ficticias en un sistema de aplicación y procesar datos de prue

I Cuando se realiza una investigación forense de computadora, con respecto a la evidencia recolectada,la MAYOR preocupación de un auditor de SI debe ser:

La preservación y documentación de evidencia para revisión por el organismautoridades judiciales son la preocupación primaria cuando se lleva a cabo unadebidamente la evidencia podría poner en peligro la aceptación de la evidencia en e



I Durante una revisión de un archivo maestro de clientes, un auditor de SI descubrió numerosasduplicaciones de nombre de cliente que surgían de variaciones en los primeros nombres del cliente.Para determinar la extensión de la duplicación, el auditor de SI usaría:

Como el nombre no es el mismo (debido a variaciones de los primeros ndetectar duplicaciones seria comparar otros campos comunes, como por ejemplentonces seguidamente llevarse a cabo una revisión para determinar los nombr

I Un auditor de SI está efectuando una auditoría de un sistema operativo de red. ¿Cuál de lassiguientes es una función de usuario que el auditor de SI debe revisar?

Las funciones de usuario de sistema operativo de red incluyen la disdocumentación de red. Otras funciones serían el acceso del usuario a diverso(hosts) de red, la autorización del usuario a tener acceso a recursos pa

I El MEJOR método de probar la exactitud de un sistema de cálculo de impuestos es: Preparar transacciones simuladas para procesar y comparar los resultados con resuMEJOR método para probar la corrección de un cálculo de impuestos. La revisión de diagramas de flujo y el análisis de código fuente no son métodos efectivos,

I Cuando se evalúa el efecto colectivo de los controles preventivos de detección o correctivos dentrode un proceso, un auditor de SI debería estar consciente:

Un auditor de SI debería concentrarse en cuando los controles son ejercidosravés del sistema de computadora. La opción B es incorrecta ya que los controambién relevantes. La opción C es incorrecta ya que los controles correctivos elimi

I ¿Cuál de las siguientes técnicas de auditoría ayudaría MÁS a un auditor a determinar si ha habidocambios no autorizados de programa desde la última actualización autorizada de programa?

Una comparación automática de códigos es el proceso de comparar dos versioneara determinar si las dos corresponden. Es una técnica eficiente porque es un proc

corridas de prueba de datos permiten al auditor verificar el procesa

I Un auditor de SI que evalúa los controles de acceso lógico debe PRIMERO: Cuando evalúa los controles de acceso lógico, un auditor de SI debe primero obtener de seguridad que enfrenta el procesamientode información revisando la documentación relevante, mediante averiguacionesevaluación del ries o. La documentación la evaluación es el se undo aso a

I Un Auditor de sistemas que trate de determinar si el acceso a la documentación de programas estárestringido a las personas autorizadas, loMÁS probable es que:

Preguntar a los programadores sobre los procedimientos que se están siguiendodeterminar si el acceso a la documentación de programas está restringido Evaluar los planes de retención de registros para almacenamiento fuera de las

I Durante una auditoría de seguridad de procesos de TI, un auditor de SI encontró que no había procedimientos de seguridad documentados. El auditor de SI debe:

Uno de los principales objetivos de una auditoría es identificar los riesgos pétodo más proactivo sería identificar y evaluar las prácticas existentes de segu

está siguiendo. Un auditor de SI no debe preparar documentación, y si lo hicier

I ¿Cuál de las siguientes debe ser la MAYOR preocupación para un auditor de SI? No reportar una intrusión es equivalente a un auditor de SI que esconde una sería un error profesional. A pesar de que puede requerirse la notificación a la examen periódico de derechos de acceso podría ser una preocupación,



I ¿Cuál de las siguientes debe ser la MAYOR preocupación para un auditor de SI? o reportar una intrusión es equivalente a un auditor de SI que esconde una inería un error profesional. A pesar de que puede requerirse la notificación a la pxamen periódico de derechos de acceso podría ser una preocupación, e

I ¿Cuál de las siguientes es la razón MÁS probable de por qué los sistemas de correoelectrónico se han convertido en una fuente útil de evidencia en litigios?

os archivos de respaldo contienen documentos, que supuestamente han sidoecuperados de estos archivos. Los controles de acceso pueden ayudar a establecuenta de la emisión de un documento en particular, pero esto no provee evidencia d


l objetivo primario del software forense es preservar la evidencia electrónica pavidencia. Los ahorros en tiempo y en costos, opción B, y la eficiencia y lareocupaciones legítimas y diferencian a los paquetes buenos de los paquetes defici

I ¿Cuál de las siguientes es una prueba sustantiva? na prueba sustantiva confirma la integridad del procesamiento real. Una pruebi los registros de la biblioteca de cintas están establecidos correctamente. Unaetermina si se están aplicando los controles de una forma consistente con las

I ¿Cuál de las siguientes formas de evidencia para el auditor se consideraría la MÁS confiable? a evidencia obtenida de fuentes externas es por lo general más confiable que e la organización. Las cartas de confirmación recibidas desde el exterior, como perificar los balances de cuentas por cobrar, son por lo general altamente confiables

I ¿Cuál de las siguientes herramientas de auditoría es la MÁS importante para un auditor de SI cuandose requiere una pista de auditoría?

na herramienta de instantánea (snapshot) es más útil cuando se requiere una pista desarse para incorporar transacciones de prueba en una corrida normal de producción.ransacciones que reúnen ciertos criterios necesitan ser examinadas. Los ganchos de a

I ¿Cuál de las siguientes opciones sería normalmente la evidencia MÁS confiable para un auditor? La evidencia obtenida de terceros independientes casi siempre es considerada la más cB, C y D no serian consideradas confiables.

I ¿Cuál de las siguientes pruebas es realizada por un auditor de SI cuando es seleccionada unamuestra de programas para determinar si las versiones fuentes y las versiones objeto son lasmismas?

na prueba de cumplimiento determina si los controles están operando comoiendo aplicados en tal forma que cumplan con las políticas y procedimientos di al auditor de SI le preocupa si los controles de biblioteca de progr

I ¿Cuál de las siguientes sería la MEJOR población de la cual tomar una muestra cuando un programaen pruebas cambia?

a mejor fuente de la cual extraer cualquier ejemplo o prueba de un sistemistema automatizado. Las bibliotecas de producción representan ejecutablesutorizados para procesar los datos de la organización. Los listados de programa fue



I ¿Cuál de las siguientes técnicas en línea es más efectiva para la detección temprana de errores oirregularidades?

La técnica del gancho de auditoría implica integrar código en los sistemas de apransacciones seleccionadas. Esto ayuda al auditor de SI a actuar ante un error o control. Un modulo integrado de auditoría implica integrar software escrito

I ¿Cuál de los métodos de muestreo es el MÁS útil cuando se pone a prueba su cumplimiento? El muestreo de atributos es el método primario de muestreo que se usa para comuestreo de atributos es un modelo de muestreo que se usa para estimar la t

calidad especifica (atributo) en una población y se usa en la comprobació

I ¿Cuál de los siguientes describe MEJOR una prueba integrada (integrated test facility-ITF)? La respuesta A describe mejor una prueba integrada (integrated test facility-ITF), quespecializado asistido por computadora que permite que auditor de SI pruebecontinua. La respuesta B es un ejemplo de un archivo de revisión de control d

I ¿Cuál de los siguientes es el MAYOR desafío al utilizar datos de prueba?La eficacia de los datos de prueba está determinada por la extensión de la coberclave a ser probados. Si los datos de prueba no cubren todas las condiciones viesgo de que la debilidad de control relevante pueda seguir sin ser detectada. Lor el eríodo cubierto or la auditoría, ueden haberse efectuado ara de u

I ¿Cuál de los siguientes es un beneficio de un método de planeación de auditoría basado en el riesgo? El método basado en el riesgo está diseñado para asegurar que el tiempo delas áreas de mayor riesgo. El desarrollo de un cronograma de auditoría no está dien el riesgo. Los cronogramas de auditoría pueden ser preparados con meses de

I ¿Cuál de los siguientes es un objetivo de un programa de auto evaluación de control (CSA)? Los objetivos de los programas CSA incluyen la educación para la gerencia de lcontrol, seguimiento y concentración de todos en las áreas de alto riesgo. Los de CSA incluyen el aumento de las responsabilidades de auditoría,

I ¿Cuál de los siguientes es una ventaja de una prueba integrada (ITF)? Una prueba integrada crea una entidad ficticia en la base de datos para procesimultáneamente con la entrada en vivo. Su ventaja es que las pruebas periódiseparados de prueba. Sin embargo, es necesaria una planeación cuidadosa y los

I ¿Cuál de los siguientes pasos realizaría PRIMERO un auditor de SI normalmente en una revisión deseguridad del centro de datos?

Durante la planeación, el auditor de SI debería obtener una visión general de lasauditadas y evaluar los riesgos de auditoría y de negocios. Las opciones A y D son pcampo de la auditoría que ocurre posterior a esta planeación y preparación. La o

I ¿Cuál de los siguientes podría ser usado por un auditor de SI para validar la efectividad de las rutinasde edición y de validación?

La prueba de integridad de dominio está dirigida a verificar que los datos sei.e., los elementos de datos están todos en los dominios correctos. El objetivo erificar que las rutinas de edición y de validación están funcionando de manera

inte ridad relacional se realizan a nivel del re istro or lo eneral im lican calcular



I ¿Las decisiones y las acciones de un auditor es MÁS probable que afecten a cuál de los riesgossiguientes?

Un riesgo de detección está directamente afectado por la selección, por parte del auécnicas de auditoría. Los riesgos inherentes por lo general no están afectadosiesgo de control es controlado por las acciones de la gerencia de la compañí

I ¿Qué técnica de auditoría provee la MEJOR evidencia de la segregación de funciones en undepartamento de SI?

Observando el personal de SI cuando realiza sus tareas, el auditor de SI puede idenoperaciones no compatibles y entrevistando el personal de SI el auditor puede obtentareas realizadas. Basado en las observaciones y entrevistas, el auditor puede evalua

La erencia no uede estar en conocimiento de las funciones detalladas de cada em

I A través de todas las fases de un trabajo de auditoría, el Auditor de SI debe concentrarse en: A través de todas las fases de la auditoría de SI, el auditor debe asegurarse que hayaecolección de evidencias, el muestreo y las pruebas sustantivas no ocurren en todas

ejemplo, la fase de reporte no requiere la recolección de evidencias, sino que utiliza

I Al llevar a cabo una auditoría, un auditor de SI detecta la presencia de un virus. ¿Cuál debe ser elsiguiente paso del auditor de SI?

Lo primero que un auditor de SI debe hacer después de detectar el virus es alorganización, luego esperar la respuesta de ésta. La opción A se debe emprender ermitirá al auditor de SI examinar la funcionalidad y la efectividad del sistema

I Al planear una auditoría, el paso MÁS crítico es la identificación de: Cuando se diseña un plan de auditoría, es importante identificar las áreadeterminar las áreas a ser auditadas. Los conjuntos de habilidades del personal considerado antes de decidir y de escoger la auditoría. Los pasos de prueba

I Cuando comunican los resultados de auditoría, los auditores de SI deben recordar que en últimainstancia ellos son los responsables ante:

El auditor de SI es en última instancia responsable ante la alta gerencia y anteunta directiva. Incluso si el auditor de SI debe discutir los hallazgos con el perso

auditada (opción B), ello se hace únicamente para obtener acuerdo sobre los h

I Cuando se está desarrollando una estrategia de auditoría basada en el riesgo, un auditor de SIdebe llevar a cabo una evaluación del riesgo para asegurar que:

Para desarrollar una estrategia de auditoría basada en el riesgo, es crítico quulnerabilidades. Esto determinará las áreas a ser auditadas y la extensión de

controles apropiados requeridos para mitigar los riesgos están instalados es


El primer paso para evaluar los controles de monitoreo de la red debe ser de documentación de red, específicamente los diagramas de topología. Si esta infentonces los procesos de monitoreo y la capacidad para diagnosticar los problemas


Un auditor de SI debería concentrarse en cuando los controles son ejercidos cdel sistema de computadora. La opción B es incorrecta ya que los controles coelevantes. La opción C es incorrecta ya que los controles correctivos eliminan



I Cuando se implementan sistemas de monitoreo continuo el PRIMER paso de un auditor de SI esidentificar:

l primer paso y el más crítico en el proceso es identificar las áreas de alto rieos gerentes del departamento de negocios y altos ejecutivos están en las mejore

pinión respecto a estas áreas. Una vez que las áreas potenciales de implementac

I Cuando se realiza una investigación forense de computadora, respecto a las evidencias recolectadas,un auditor de SI debe preocuparse MÁSde:

a preservación y la documentación de evidencias a ser revisadas por las autoridna preocupación primaria cuando se lleva a cabo una investigación. No preservaodría poner en peligro la aceptación de las evidencias en los procesos legales.

I Cuando se seleccionan procedimientos de auditoría, el Auditor de SI debe usar su juicio profesional para asegurar que:

os procedimientos son procesos posibles que un auditor de SI puede seguir en

eterminar si

algún

procedimiento

específico

es apropiado,

el

Auditor

de

SI

d propiado para las circunstancias específicas. Juicio profesional implica una ev

ualitativa de las condiciones que surgen en el curso de una auditoría. El juicio s

I Durante la etapa de planeación de una auditoría de SI, la meta PRIMARIA del auditor es: as normas de auditoría de ISACA requieren que un auditor de SI planeelcanzar los objetivos de auditoría. La opción B es incorrecta porque el auditotapa de planeación de una auditoría. Las opciones C y D son incorrectas p


no de los principales objetivos de una auditoría es identificar los riesgosétodo más proactivo sería identificar y evaluar las prácticas existentes de segur

iguiendo. Un auditor de SI no debe preparar documentación, y si lo hiciera,

I urante una revisión de implementación de una aplicación distribuida multiusuario, el auditor deI encuentra debilidades menores en tres áreas-La disposición inicial de parámetros está instalada

ncorrectamente, se están usando contraseñas débiles y algunos reportes vitales no se están verificando

as debilidades individualmente son de menor importancia, sin embargo, jebilitar sustancialmente la estructura general de control. Las opciones A y Duditor de SI para reconocer el efecto combinado de la debilidad de control.

I Durante una revisión de los controles sobre el proceso de definir los niveles de servicios de TI,un auditor de SI entrevistaría MÁS probablemente al:

ntender los requerimientos del negocio es clave para definir los niveles dna de las otras entidades enumeradas puede suministrar alguna definición la me unidad de negocio, debido a los amplios conocimientos que tiene esta pers


Como el nombre no es el mismo ( debido a variaciones de los primeros etectar duplicaciones seria comparar otros campos comunes, como por ejemntonces seguidamente llevarse a cabo una revisión para determinar los nom

I El departamento de SI de una organización quiere asegurarse de que los archivos de computadorausados en la instalación de procesamiento de información, estén respaldados adecuadamente para permitir la recuperación apropiada. Este es un:

os objetivos de control de SI especifican el conjunto mínimo de controles fectividad en las operaciones y funciones dentro de una organización. Los pesarrollan para proveer una garantía razonable de que se lograran los obje



I El éxito de la autoevaluación de control (CSA) depende en gran medida de: l objetivo primario de un programa de CSA es repaldar la función de auditoría esponsabilidades de monitoreo de control a los gerentes de línea del área funcioe autoevaluación de control (CSA) depende del grado en el que los


l grado hasta donde los datos serán recolectados durante una auditoría de SI on el alcance y el propósito de la auditoría. Una auditoría que tenga un propósiás probable es que tendría como consecuencia menos recolección de datos,

I El MEJOR método de probar la exactitud de un sistema de cálculo de impuestos es: reparar transacciones simuladas para procesar y comparar los resultados con reEJOR método para probar la corrección de un cálculo de impuestos. La revisió

e diagramas de flujo y el análisis de código fuente no son métodos efectivo

I El objetivo PRIMARIO de una función de auditoría de SI es: a razón primaria para llevar a cabo auditorías de SI es determinar si un sisteantiene la integridad de los datos. Examinar libros de contabilidad es uno

n una auditoría de SI pero no es el propósito primario. Detectar fraudes p

I El propósito PRIMARIO de las pistas de auditoría es: abilitar pistas de auditoría ayuda establecer la obligación de rendir cuentasransacciones procesadas, rastreando transacciones a través del sistema. El objeroveer pistas de auditoría no es mejorar la eficiencia del sistema, ya que

I El propósito PRIMARIO de un contrato de auditoría es: l contrato de auditoría típicamente establece la función y la responsabilidad dnterna. Debería establecer los objetivos de la gerencia y la delegación de uditoría. Este se cambia muy pocas veces y no contiene el plan de audito

I El riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya quelos errores materiales no existen cuando en realidad existen, es un ejemplo de:

Este es un ejemplo de riesgo de detección.

I El riesgo general del negocio para una amenaza en particular se puede expresar como: a opción A toma en consideración tanto la probabilidad como la magnitud dedida del riesgo para un activo. La opción B provee únicamente la probab

xplote una vulnerabilidad en el activo pero no provee la magnitud del posib

I El uso de procedimientos estadísticos de muestreo ayuda a minimizar el riesgo:l riesgo de detección es el riesgo de que el auditor de SI use un procedimieoncluya que los errores materiales no existen, cuando en realidad sí existen. n auditor de SI puede cuantificar con qué aproximación debe la muestra repuantificar la robabilidad de error. El ries o de muestreo es el ries o de ue se ha



I El vicepresidente de recursos humanos ha solicitado una auditoría para identificar los sobrepagosde planilla/nómina para el año anterior.¿Cuál sería la MEJOR técnica de auditoría para usar en esta situación?

as características del software generalizado de auditoría incluyen cómputosnálisis estadístico, verificación de secuencia, verificación de duplicados y sando software generalizado de auditoría, podría diseñar pruebas ap

I En el curso de la realización de un análisis de riesgo, un auditor de SI ha identificado amenazase impactos potenciales. Inmediatamente después, un auditor de SI debe:

Es importante que un auditor de SI identifique y evalúe los controles y la seguriamenazas potenciales y los impactos posibles están identificados. Al concluirse udebe describir y discutir con la gerencia las amenazas y los impactos potenciales so

I En el proceso de evaluar los controles de cambio de programa, un auditor de SI usaría software decomparación de código fuente para:

l auditor tiene una garantía objetiva, independiente y relativamente completa de

omparación del código fuente identificará los cambios. La opción B no es cieresde la adquisición de la copia no están incluidos en la copia del software. La o

I En los casos en que hay desacuerdo, durante una entrevista de salida, respecto al impacto de unhallazgo, el auditor de SI debe:

i los auditados no estuvieran de acuerdo con el impacto de un hallazgo, es imlabore y aclare los riesgos y exposiciones, ya que es posible que los auditadoagnitud de la exposición. La meta debe ser explicar a los auditados o des

I En un enfoque de auditoría basado en el riesgo, un auditor de SI debería realizar primero una: l primer paso en un enfoque de auditoría basada en el riesgo es recolectar inforndustria para evaluar los riesgos inherentes. Después de realizar la evaluacióniguiente paso sería realizar una evaluación de la estructura de control interno.

I En un enfoque de auditoría basado en el riesgo, un auditor de SI, además del riesgo, estaríainfluenciado por la:

a existencia de controles internos y operativos tendrá un peso sobre el enfoquee SI. En un enfoque basado en el riesgo, el auditor de SI no se esta basandoambién en los controles internos y operativos así como también en el conoce ocio. Este ti o de decisión de análisis del ries o uede a udar a relacionar

I En un servidor crítico, un auditor de SI descubre un caballo de Troya que fue producido por un virus conocido que explota una vulnerabilidad de un sistema operativo. ¿Cuál de los siguientesdebería hacer PRIMERO un auditor?

a prioridad es salvaguardar el sistema; por lo tanto, el auditor de SI debería .e., eliminar el código. El auditor de SI no es responsable de investigar el nalizar la información del virus y determinar si éste ha afectado el sistema ope

I En una auditoría de SI de varios servidores críticos, el auditor quiere analizar las pistas de auditoría para descubrir potenciales anomalías en el comportamiento de usuarios o del sistema. ¿Cuál de lasherramientas siguientes es la MÁS adecuada para realizar esa tarea?

as herramientas de detección de tendencias /varianzas buscan anomalías en el cel sistema, por ejemplo, determinando para los documentos prenumerados si loncrementales. Las herramientas CASE se usan para asistir en el desarrollo de soft

I En una auditoría de una aplicación de inventario, ¿qué método proveerá la MEJOR evidencia de que lasórdenes de compra son válidas?

Para determinar la validez de la orden de compra, probar los controles de accesoLas opciones B y C están basadas en métodos posteriores al hecho, y la opci porque lo que está en la documentación del sistema puede no ser lo mismo q



I La alta gerencia ha solicitado que un auditor de SI asista a la gerencia departamental en laimplementación de los controles necesarios. El auditor de SI debería:

En esta situación el auditor de SI debería informar a la gerencia sobre el perjuicllevar a cabo auditorías posteriores en el área del auditado. Un auditor de SI puedo sean de auditoría cuando la experiencia y conocimientos del auditor pue

I La evaluación de riesgos es un proceso: El lineamiento de auditoría de SI sobre el uso de un análisis del riesgo en la plan“Todas las metodologías de análisis de riesgo se basan en juicios subjetivoroceso (por ejemplo, para asignar ponderaciones a los diversos parámetro

I La función PRIMARIA de un auditor de SI durante la fase de diseño del sistema de un proyecto dedesarrollo de aplicaciones es:

La función del auditor de SI es asegurar que estén incluidos los controles req

resente específicamente como un consultor, el auditor de SI no debería particDurante la fase de diseño, la función primaria del auditor de SI es asegurar que esté

I La función tradicional de un auditor de SI en una autoevaluación de control (control self-assessment-CSA) debe ser la de:

Cuando se establecen los programas de CSA, los auditores de SI se convierten interno y en facilitadores de evaluaciones. Los auditores de SI son los facilitadersonal) es el participante en el proceso de CSA. Durante un taller de CSA, en


Una evaluación completa del riesgo determina el nivel apropiado para un nivel dadenfoque de la línea base aplica meramente un conjunto estándar de protección indHay una ventaja de costo en no sobreproteger la información. Sin embargo

I La razón PRIMARIA de un auditor de SI que realiza un recorrido profesional durante la fase preliminar de una asignación de auditoría es:

Entender el proceso de negocio es el primer paso que el Auditor de SI necesitaequieren que el auditor realice un recorrido del proceso. Identificar las debilidad

la razón primaria para el recorrido y ocurre típicamente en una etapa posterior

I La responsabilidad, autoridad y obligación de rendir cuentas de las funciones de auditoría de lossistemas de información están debidamente documentadas en una carta o contrato de auditoría (AuditCharter) y DEBEN ser:

La norma sobre responsabilidad, autoridad y obligación de rendir cuentas expresaautoridad, y obligaciones de rendir cuentas de la función de auditoría de los sisteser debidamente documentadas en una carta de auditoría o carta compromiso.&rson incorrectas or ue la carta de auditoría debe ser a robada or la eren

I La ventaja PRIMARIA de un enfoque continuo de auditoría es que:El uso de técnicas continuas de auditoría puede en realidad mejorar la seguridsa en entornos que comparten el tiempo que procesan un gran numero de tranocas pistas de papel. La opción A es incorrecta ya que el enfoque de au

I Los análisis de riesgos realizados por los auditores de SI son un factor crítico para la planeación de laauditoría. Se debe hacer un análisis del riesgo para proveer:

La directriz para la auditoría de SI sobre la planeación de la auditoría de SI acer un análisis de riesgo para proveer garantía razonable de que se abarcaranateriales. Este análisis debe identificar áreas con riesgo relativamente alto



I Los diagramas de flujo de datos son usados por los Auditores de SI para: Los diagramas de flujo de datos se usan como ayudas para graficar o diagramar edatos, con ellos se rastrean los datos desde su origen hasta su destino, resaltando lade los datos. Los diagramas de flujo no ordenan los datos en ningún orden jerá


Monitorear el tiempo (A) y los programas de auditoría (D), así como también (B) mejorará la productividad del personal de auditoría de SI (eficiencia y entrega valor a la organización son los recursos y esfuerzos que se está

I Para determinar la suma de dólares de los cheques emitidos a cada vendedor en un períodoespecificado, el Auditor de SI debe usar:

El software generalizado de auditoría facilitará la revisión de todo el archivo psatisfagan los criterios de selección. El software generalizado de auditoría prrovee las características de cómputo, estratificación, etc. El simulacro para

I Para identificar el valor del inventario que se ha guardado (no han rotado) por más de ocho semanas,lo MÁS probable es que un auditor deSI utilice:

El software generalizado de auditoría facilitara la revisión de todo el archivo deubros que cumplan los criterios de selección. El software generalizado de auditoría

datos y provee funciones de cómputo, estratificación, etc. Los datos de prueba

I Respecto al muestreo, se puede decir que: El muestreo estadístico cuantifica que tan aproximadamente debería una muestra relo general como un porcentaje. Si el auditor sabe que los controles internos soconfianza puede descender. El muestreo es generalmente aplicable cuando la poblac

I Revisar los planes estratégicos a largo plazo de la gerencia ayuda al auditor de SI a: La planeación estratégica pone en movimiento los objetivos corporativos o depestratégica está orientada al tiempo y al proyecto, pero debe también tratar y ayudaara satisfacer las necesidades del negocio. Revisar los planes estratégicos a la

I Se asigna a un auditor de sistemas para que realice una revisión de un sistema de aplicación posterior a la implementación. ¿Cuál de las siguientes situaciones puede haber comprometido laindependencia del auditor de sistemas? El auditor de sistemas:

Se puede comprometer la independencia si el auditor de sistemas está o ha estado el desarrollo, adquisición, e implementación del sistema de aplicación. Las opcioque no comprometen la independencia del auditor de sistemas. La opción

I Un auditor de SI debe usar muestreo estadístico y no muestreo de juicio (no estadístico), cuando: Dada una tasa de error esperado y un nivel de confianza, el muestreo estadístide muestreo, que ayuda a un auditor de SI a determinar el tamaño de lrobabilidad de error (coeficiente de confianza). La opción B es incorrecta porque

I Un auditor de SI descubre evidencia de fraude perpetrado con la identificación del usuario deun Gerente. El gerente había escrito la contraseña, asignada por el administrador del sistema,dentro del cajón/ la gaveta de su escritorio. El auditor de SI debería concluir que el:

Las debilidades de control de contraseña significan que cualquiera de las otras cierta. La seguridad de contraseña identificaría normalmente al perpetrador. En estmás allá de la duda



I Un Auditor de SI emite un reporte de auditoría señalando la falta de funciones de protección defirewall en la entrada (gateway) perimetral de la red y recomienda que un vendedor de productosresuelva esta vulnerabilidad. El auditor no ha ejercido:

Cuando un auditor de SI recomienda un vendedor específico, ellos comrofesional. La independence organizacional no tiene relevancia para el contenido

debe considerarse en el momento de aceptar el compromiso. Las competencias


Las funciones de usuario de sistema operativo de red incluyen la disponibilidadde red. Otras funciones serían el acceso del usuario a diversos recursos de aautorización del usuario a tener acceso a recursos particulares y la red y

I Un auditor de SI está evaluando una red corporativa en busca de una posible penetración por

parte de empleados internos. ¿Cuál de los hallazgos siguientes debería preocupar MÁS al auditor deSI?

El aprovechamiento de un ID y contraseña de usuario conocidos requiere mínimosexpone los recursos de la red a la explotación(maliciosa ). La barrera técnica es baja y el impacto puede ser muy elevado; por lo IDs de usuario tengan contraseñas idénticas representa la mayor amenaza. Los mód

I Un auditor de SI está revisando el acceso a una aplicación para determinar si los 10 formularios&ldquo ;nuevo usuario” más recientes fueron correctamente autorizados. Este es un ejemplode:

La prueba de cumplimiento determina si los controles se están aplicando de acincluye pruebas para determinar si las nuevas cuentas fueron debidamente ariables se usa para estimar los valores numéricos, tales como valores de

sustancia la inte ridad del rocesamiento real como or e em lo los saldos d


Uno de los factores clave a ser considerados mientras se eval an los riesgos relaciosistemas de información son las amenazas y las vulnerabilidades que afectan elacionados con el uso de activos de información deben ser evaluados a

I Un auditor de SI evalúa los resultados de prueba de una modificación a un sistema que trata concómputo de pagos. El auditor encuentra que el 50 % de los cálculos no coinciden con los totales predeterminados. ¿Cuál de los siguientes es MÁS probable que sea el siguiente paso en la auditoría?

El auditor de SI debería luego examinar casos donde ocurrieron cálculos esultados. Después de que los cálculos hayan sido confirmados, más pruebas evisadas. La preparación de reportes, hallazgos y recomendaciones no se haría h

I Un auditor de SI ha evaluado los controles en busca de la integridad de los datos en unaaplicación financiera. ¿Cuál de los hallazgos siguientes sería el MÁS significativo?

Este es el hallazgo más significativo ya que afecta directamente la integridad de levidencia de un proceso inadecuado de control de cambios y los derechos de acrocesamiento. A pesar de que las copias de respaldo sólo una vez por semana e

I Un auditor de SI ha importado datos de la base de datos del cliente. El paso siguiente para confirmar si los datos importados están completos se lleva a cabo:

Comparar los totales de control de los datos importados con los totales de controsiguiente paso lógico, ya que esto confirma la integridad de los datos importadosotalidad (completeness) clasificando los datos importados, porque los datos ori

orden de clasificación. Además la clasificación no rovee totales de contro

I Un Auditor de SI que entrevista a un empleado de planilla encuentra que las respuestas norespaldan las descripciones de los puestos de trabajo y de los procedimientos documentados. Bajoestas circunstancias, el Auditor de SI debe:

Si las respuestas que se dieron a las preguntas del auditor no fueran confirmdocumentados o por las descripciones de los puestos de trabajo, el Auditor de las pruebas de los controles e incluir pruebas sustantivas adicionales. No hay evide




El uso de software no autorizado o ilegal debe estar prohibido en una organización.como consecuencia la exposición inherente y puede resultar en severas multas. El al usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el

I Un auditor de SI que realiza una revisión de los controles de aplicación evaluaría: Un control de revisión de aplicaciones implica la evaluación de los controles autona evaluación de cualesquiera exposiciones resultantes de las debilidades del ueden ser objetivos de una auditoría de aplicación pero no forman parte de u

I Un auditor de SI revisa un organigrama PRIMARIAMENTE para: Un organigrama provee información sobre las responsabilidades y la autoridad de

Esto ayuda al auditor de SI a saber si hay una segregación apropiada de funcionerabajo proporcionaría información sobre las funciones de diferentes empleados.

I Un auditor de SI revisando la efectividad de los controles de TI, encontró un informe deauditoría anterior, sin documentos de trabajo.¿Cómo debe proceder el auditor de SI?

En ausencia de documentos de trabajo de auditoría, un auditor de SI debe volver a su efectividad. Sin volver a probar el auditor no estará ejerciendo el debido cuealiza la auditoría. Los documentos de trabajo pueden ayudar al auditor a elimi

I Un Auditor de sistemas que trate de determinar si el acceso a la documentación de programas estárestringido a las personas autorizadas, loMÁS probable es que:

Preguntar a los programadores sobre los procedimientos que se est n siguienddeterminar si el acceso a la documentación de programas está restringido Evaluar los planes de retención de registros para almacenamiento fuera de las

I Un beneficio PRIMARIO para una organización que emplea técnicas de auto evaluación de controles(control self-assessment-CSA), es que ella:

La CSA se predica sobre la revisión de las áreas de alto riesgo que o bien necesitevisión más exhaustiva en una fecha posterior. La respuesta B es incorrecta articipación de tanto los auditores como la gerencia de línea. Lo que ocurre e

I Un Contrato de auditoría debería: Un contrato de auditoría debería establecer los objetivos de la gerencia para, ya la auditoría de SI. Este contrato no debería cambiar de manera significativaaprobado al nivel mas alto de la gerencia. El contrato de auditoría no estaría a un

I Un elemento clave en un análisis de riesgo es /son: Las vulnerabilidades son un elemento clave en la realización de un análisis deauditoría está constituida por procesos de corto y largo plazo que pueden detecde información. Los controles mitigan los riesgos asociados con a

I Una acción correctiva ha sido tomada por un auditado inmediatamente después de la identificaciónde un hallazgo que debería ser reportado. El auditor debe:

Incluir el hallazgo en el reporte final es una práctica de auditoría generalmente aacción después de que comenzó la auditoría y antes de que terminara, el reporte el hallazgo y describir la acción correctiva tomada. Un reporte de auditoría d



I Una prueba integrada (integrated test facility-ITF) se considera una herramienta útil de auditoría porque:

Una facilidad de prueba integrada se considera una herramienta útil de auditorogramas para comparar el procesamiento usando datos calculados de manera

establecer entidades ficticias en un sistema de aplicación y procesar datos de prue

I Una prueba sustantiva para verificar que los registros de inventario de biblioteca de cintas soncorrectos, es:

Una prueba sustantiva incluye recolectar evidencias para evaluar la integridad de laslos datos o de otra información. Un conteo físico del inventario de cintas es una prueB y D son pruebas de cumplimiento.

I Un auditor de SI está revisando el acceso a una aplicación para determinar si los 10

formularios "nuevo usuario" más recientes fueron correctamente autorizados. Este es un ejemplo de:

La prueba de cumplimiento determina si los controles se están aplicando de acincluye pruebas para determinar si las nuevas cuentas fueron debidamente ariables se usa para estimar los valores numéricos, tales como valores de

sustancia la inte ridad del rocesamiento real como or e em lo los saldos d

I ¿Las decisiones y las acciones de un auditor es MáS probable que afecten a cuál de los riesgossiguientes?

Un riesgo de detección está directamente afectado por la selección, por parte del auécnicas de auditoría. Los riesgos inherentes por lo general no están afectadosiesgo de control es controlado por las acciones de la gerencia de la compañí

I La alta gerencia ha solicitado que un auditor de SI asista a la gerencia departamental en laimplementación de los controles necesarios. El auditor de SI debería:

En esta situaci n el auditor de SI deber a informar a la gerencia sobre el perjuicio a cabo auditorías posteriores en el área del auditado. Un auditor de SI puede realide auditoría cuando la experiencia y conocimientos del auditor pueden ser de

I El riesgo general del negocio para una amenaza en particular se puede expresar como: La opción A toma en consideración tanto la probabilidad como la magnitud dedida del riesgo para un activo. La opción B provee únicamente la probabil

explote una vulnerabilidad en el activo pero no provee la magnitud del posibl

I ¿Cuál de las siguientes es una prueba sustantiva? Una prueba sustantiva confirma la integridad del procesamiento real. Una pruelos registros de la biblioteca de cintas están establecidos correctamente. Udetermina si se están aplicando los controles de una forma consistente con l

I El uso de procedimientos estadísticos de muestreo ayuda a minimizar el riesgo:El riesgo de detección es el riesgo de que el auditor de SI use un procedimienconcluya que los errores materiales no existen, cuando en realidad sí existen. n auditor de SI puede cuantificar con qué aproximación debe la muestra repr

cuantificar la robabilidad de error. El ries o de muestreo es el ries o de ue se

I ¿Cuál de los siguientes es un beneficio de un método de planeación de auditoría basado en el riesgo? El método basado en el riesgo está diseñado para asegurar que el tiempo dlas áreas de mayor riesgo. El desarrollo de un cronograma de auditoría no está en el riesgo. Los cronogramas de auditoría pueden ser preparados con meses de



I El objetivo PRIMARIO de una función de auditoría de SI es: La razón primaria para llevar a cabo auditorías de SI es determinar si un sistemantiene la integridad de los datos. Examinar libros de contabilidad es uno

en una auditoría de SI pero no es el propósito primario. Detectar fraudes po


El uso de software no autorizado o ilegal debe estar prohibido en una organización.como consecuencia la exposición inherente y puede resultar en severas multas. Elal usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el

I Un elemento clave en un análisis de riesgo es /son: Las vulnerabilidades son un elemento clave en la realización de un análisis d

auditoría está constituida por procesos de corto y largo plazo que pueden detectainformación. Los controles mitigan los riesgos asociados con amenazas espec

I Un Contrato de auditoría debería: Un contrato de auditoría debería establecer los objetivos de la gerencia para, a la auditoría de SI. Este contrato no debería cambiar de manera significativaaprobado al nivel mas alto de la gerencia. El contrato de auditoría no estaría a un

I En un enfoque de auditoría basado en el riesgo, un auditor de SI, además del riesgo, estaríainfluenciado por la:

La existencia de controles internos y operativos tendrá un peso sobre el enfoque de SI. En un enfoque basado en el riesgo, el auditor de SI no se esta basando ambién en los controles internos y operativos así como también en el conocie ocio. Este ti o de decisión de análisis del ries o uede a udar a relacionar e


Una evaluación completa del riesgo determina el nivel apropiado para un nivel daenfoque de la línea base aplica meramente un conjunto estándar de protección inHay una ventaja de costo en no sobreproteger la información. Sin embargo una ve

I ¿Cuál de los métodos de muestreo es el MáS útil cuando se pone a prueba su cumplimiento? El muestreo de atributos es el método primario de muestreo que se usa para comuestreo de atributos es un modelo de muestreo que se usa para estimar la

calidad especifica (atributo) en una población y se usa en la comprobac

I El propósito PRIMARIO de un contrato de auditoría es: El contrato de auditoría típicamente establece la función y la responsabilidad deinterna. Debería establecer los objetivos de la gerencia y la delegación de auauditoría. Este se cambia muy pocas veces y no contiene el plan de auditoría

I ¿Cuál de las siguientes es la razón MáS probable de por qué los sistemas de correo electrónicose han convertido en una fuente útil de evidencia en litigios?

Los archivos de respaldo contienen documentos, que supuestamente han ecuperados de estos archivos. Los controles de acceso pueden ayudar a establ

cuenta de la emisión de un documento en particular, pero esto no p

os objetivos de control de SI especifican el conjunto mínimo de controles



I El departamento de SI de una organización quiere asegurarse de que los archivos de computadorausados en la instalación de procesamiento de información, estén respaldados adecuadamente para permitir la recuperación apropiada. Este es un:

os objetivos de control de SI especifican el conjunto mínimo de controles fectividad en las operaciones y funciones dentro de una organización. Los esarrollan para proveer una garantía razonable de que se lograran los objet

I Se asigna a un auditor de sistemas para que realice una revisión de un sistema de aplicación posterior a la implementación. ¿Cuál de las siguientes situaciones puede haber comprometido laindependencia del auditor de sistemas? El auditor de sistemas:

e puede comprometer la independencia si el auditor de sistemas está o ha estadl desarrollo, adquisición, e implementación del sistema de aplicación. Las opciue no comprometen la independencia del auditor de sistemas. La opción

I La ventaja PRIMARIA de un enfoque continuo de auditoría es que:l uso de técnicas continuas de auditoría puede en realidad mejorar la segusa en entornos que comparten el tiempo que procesan un gran numero de tocas pistas de papel. La opción A es incorrecta ya que el enfoque de

I ¿Cuál de los siguientes es un objetivo de un programa de auto evaluación de control (CSA)? os objetivos de los programas CSA incluyen la educación para la gerencia de ontrol, seguimiento y concentración de todos en las áreas de alto riesgo. Los o

CSA incluyen el aumento de las responsabilidades de auditoría, no el reemp

I ¿Cuál de las siguientes pruebas es realizada por un auditor de SI cuando es seleccionada unamuestra de programas para determinar si las versiones fuentes y las versiones objeto son las mismas?

na prueba de cumplimiento determina si los controles est n operando como s plicados en tal forma que cumplan con las políticas y procedimientos de uditor de SI le preocupa si los controles de biblioteca de programas están

I El propósito PRIMARIO de las pistas de auditoría es: abilitar pistas de auditoría ayuda establecer la obligación de rendir cuentas ransacciones procesadas, rastreando transacciones a través del sistema. El objetiroveer pistas de auditoría no es mejorar la eficiencia del sistema, ya que

I El riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya que loserrores materiales no existen cuando en realidad existen, es un ejemplo de:

Este es un ejemplo de riesgo de detección.

I En un enfoque de auditoría basado en el riesgo, un auditor de SI debería realizar primero una: l primer paso en un enfoque de auditoría basada en el riesgo es recolectar inforndustria para evaluar los riesgos inherentes. Después de realizar la evaluacióniguiente paso sería realizar una evaluación de la estructura de control interno.

I Respecto al muestreo, se puede decir que: l muestreo estadístico cuantifica que tan aproximadamente debería una muestra o general como un porcentaje. Si el auditor sabe que los controles internos sonfianza puede descender. El muestreo es generalmente aplicable cuando la po

El lineamiento de auditoría de SI sobre el uso de un análisis del riesgo en la plan



I La evaluación de riesgos es un proceso: El lineamiento de auditoría de SI sobre el uso de un análisis del riesgo en la plan"Todas las metodologías de análisis de riesgo se basan en juicios subjetivos en c(por ejemplo, para asignar ponderaciones a los diversos parámetros.) El audito

I La responsabilidad, autoridad y obligación de rendir cuentas de las funciones de auditoría de lossistemas de información están debidamente documentadas en una carta o contrato de auditoría (AuditCharter) y DEBEN ser:

La norma sobre responsabilidad, autoridad y obligación de rendir cuentas autoridad, y obligaciones de rendir cuentas de la función de auditoría de los sisser debidamente documentadas en una carta de auditoría o carta compromiso."

I Revisar los planes estratégicos a largo plazo de la gerencia ayuda al auditor de SI a: La planeación estratégica pone en movimiento los objetivos corporativos o dep

estratégica está

orientada

al

tiempo

y

al

proyecto, pero

debe

también

tratar

y

ayudara satisfacer las necesidades del negocio. Revisar los planes estratégicos a


Uno de los factores clave a ser considerados mientras se evalúan los riesgos relacionsistemas de información son las amenazas y las vulnerabilidades que afectan elacionados con el uso de activos de información deben ser evaluados ai

I Al planear una auditoría, el paso MáS crítico es la identificación de: Cuando se diseña un plan de auditoría, es importante identificar las áreadeterminar las áreas a ser auditadas. Los conjuntos de habilidades del personal considerado antes de decidir y de escoger la auditoría. Los pasos de prueba para la

I Un beneficio PRIMARIO para una organización que emplea técnicas de auto evaluación de controles(control self-assessment—CSA), es que ella:

La CSA se predica sobre la revisión de las áreas de alto riesgo que o bien necesievisión más exhaustiva en una fecha posterior. La respuesta B es incorrecta articipación de tanto los auditores como la gerencia de línea. Lo que ocurre e


El grado hasta donde los datos serán recolectados durante una auditoría de SI dcon el alcance y el propósito de la auditoría. Una auditoría que tenga un propósit

ás probable es que tendría como consecuencia menos recolección de datos, q

I Cuando se implementan sistemas de monitoreo continuo el PRIMER paso de un auditor de SI esidentificar:

El primer paso y el más crítico en el proceso es identificar las áreas de alto riesLos gerentes del departamento de negocios y altos ejecutivos están en las mejoresopinión respecto a estas áreas. Una vez que las áreas potenciales de implementaci

I Los análisis de riesgos realizados por los auditores de SI son un factor crítico para la planeación de laauditoría. Se debe hacer un análisis del riesgo para proveer:

La directriz para la auditoría de SI sobre la planeación de la auditoría de SI establecde riesgo para proveer garantía razonable de que se abarcaran adecuadamente análisis debe identificar áreas con riesgo relativamente alto de existencia

La función del auditor de SI es asegurar que estén incluidos los controles req



I La función PRIMARIA de un auditor de SI durante la fase de diseño del sistema de un proyecto dedesarrollo de aplicaciones es:

La función del auditor de SI es asegurar que estén incluidos los controles reqresente específicamente como un consultor, el auditor de SI no debería parti

Durante la fase de diseño, la función primaria del auditor de SI es asegurar que es

I En una auditoría de SI de varios servidores críticos, el auditor quiere analizar las pistas de auditoría para descubrir potenciales anomalías en el comportamiento de usuarios o del sistema. ¿Cuál de lasherramientas siguientes es la MáS adecuada para realizar esa tarea?

Las herramientas de detección de tendencias /varianzas buscan anomalías en el codel sistema, por ejemplo, determinando para los documentos prenumerados si losincrementales. Las herramientas CASE se usan para asistir en el desarrollo de softw

I ¿Cuál de los siguientes podría ser usado por un auditor de SI para validar la efectividad de las rutinas

de edición y de validación?

La prueba de integridad de dominio está dirigida a verificar que los datos sei.e., los elementos de datos están todos en los dominios correctos. El objetivoerificar que las rutinas de edición y de validación están funcionando de manera

inte ridad relacional se realizan a nivel del re istro or lo eneral im lican calcula

I Un auditor de SI ha evaluado los controles en busca de la integridad de los datos en unaaplicación financiera. ¿Cuál de los hallazgos siguientes sería el MáS significativo?

Este es el hallazgo más significativo ya que afecta directamente la integridad de loevidencia de un proceso inadecuado de control de cambios y los derechos de accrocesamiento. A pesar de que las copias de respaldo sólo una vez por semana es

I Un auditor de SI está evaluando una red corporativa en busca de una posible penetración por parte de empleados internos. ¿Cuál de los hallazgos siguientes debería preocupar MáS al auditor deSI?

El aprovechamiento de un ID y contraseña de usuario conocidos requiere mínimosexpone los recursos de la red a la explotación(maliciosa ). La barrera técnica es baja y el impacto puede ser muy elevado; por lo tIDs de usuario tengan contraseñas idénticas representa la mayor amenaza. Los mód

I En un servidor crítico, un auditor de SI descubre un caballo de Troya que fue producido por un virus conocido que explota una vulnerabilidad de un sistema operativo. ¿Cuál de los siguientesdebería hacer PRIMERO un auditor?

La prioridad

es

salvaguardar

el

sistema;

por

lo

tanto,

el

auditor

de

SI

debería

si.e., eliminar el código. El auditor de SI no es responsable de investigar el vi

analizar la información del virus y determinar si éste ha afectado el sistema opera


El objetivo primario del software forense es preservar la evidencia electrónicaevidencia. Los ahorros en tiempo y en costos, opción B, y la eficiencia yreocupaciones legítimas y diferencian a los paquetes buenos de los paquetes de

I Un auditor de SI ha importado datos de la base de datos del cliente. El paso siguiente para confirmar si los datos importados están completos se lleva a cabo:

Comparar los totales de control de los datos importados con los totales de controlsiguiente paso lógico, ya que esto confirma la integridad de los datos importados.otalidad (completeness) clasificando los datos importados, porque los datos orig

I El vicepresidente de recursos humanos ha solicitado una auditoría para identificar los sobrepagosde planilla/nómina para el año anterior.¿Cuál sería la MEJOR técnica de auditoría para usar en esta situación?

Las características del software generalizado de auditoría incluyen cómputos análisis estadístico, verificación de secuencia, verificación de duplicados y resando software generalizado de auditoría, podría diseñar pruebas apro

Durante una auditoría de seguridad de procesos de TI un auditor de SI encontró que no había Uno de los principales objetivos de una auditoría es identificar los riesgos




Uno de los principales objetivos de una auditoría es identificar los riesgosétodo más proactivo sería identificar y evaluar las prácticas existentes de seguri

siguiendo. Un auditor de SI no debe preparar documentación, y si lo hiciera,

I ¿Cuál de los siguientes es el MAYOR desafío al utilizar datos de prueba?La eficacia de los datos de prueba está determinada por la extensión de la cobeclave a ser probados. Si los datos de prueba no cubren todas las condiciones iesgo de que la debilidad de control relevante pueda seguir sin ser detectada. Los

el eríodo cubierto or la auditoría, ueden haberse efectuado ara de urar o ara

I En el curso de la realización de un análisis de riesgo, un auditor de SI ha identificado

amenazas e impactos potenciales. Inmediatamente después, un auditor de SI debe:

Es importante que un auditor de SI identifique y evalúe los controles y la segurid

amenazas potenciales

y

los

impactos

posibles están

identificados.

Al

concluirse

undebe describir y discutir con la gerencia las amenazas y los impactos potenciales so

I ¿Cuál de las siguientes debe ser la MAYOR preocupación para un auditor de SI? No reportar una intrusión es equivalente a un auditor de SI que esconde unsería un error profesional. A pesar de que puede requerirse la notificación a lexamen periódico de derechos de acceso podría ser una preocupación,

I Durante una revisión de los controles sobre el proceso de definir los niveles de servicios deTI, un auditor de SI entrevistaría MáS probablemente al:

Entender los requerimientos del negocio es clave para definir los niveles dena de las otras entidades enumeradas puede suministrar alguna definición la me

de unidad de negocio, debido a los amplios conocimientos que tiene esta perso

I ¿Cuál de las siguientes opciones sería normalmente la evidencia MáS confiable para un auditor? La evidencia obtenida de terceros independientes casi siempre es considerada la másC y D no serian consideradas confiables.

I ¿Cuál de los siguientes describe MEJOR una prueba integrada (integrated test facility&mdash ;ITF)? La respuesta A describe mejor una prueba integrada (integrated test faciliroceso de auditoría especializado asistido por computadora que permite q

aplicación de manera continua. La respuesta B es un ejemplo de un archivo de re


Un auditor de SI debería concentrarse en cuando los controles son ejercidos cdel sistema de computadora. La opción B es incorrecta ya que los controles coelevantes. La opción C es incorrecta ya que los controles correctivos eliminan

I Un auditor de SI descubre evidencia de fraude perpetrado con la identificación del usuario deun Gerente. El gerente había escrito la contraseña, asignada por el administrador del sistema, dentrodel cajón/ la gaveta de su escritorio. El auditor de SI debería concluir que el:

Las debilidades de control de contraseña significan que cualquiera de las otrascierta. La seguridad de contraseña identificaría normalmente al perpetrador. En emás allá de la duda.

I ¿Qué técnica de auditoría provee la MEJOR evidencia de la segregación de funciones en unObservando el personal de SI cuando realiza sus tareas, el auditor de SI puede ide



I ¿Qué técnica de auditoría provee la MEJOR evidencia de la segregación de funciones en undepartamento de SI? operaciones no compatibles y entrevistando el personal de SI el auditor puede obt

tareas realizadas. Basado en las observaciones y entrevistas, el auditor puede evala erencia no uede estar en conocimiento de las funciones detalladas de cada em


Como el nombre no es el mismo ( debido a variaciones de los primeros detectar duplicaciones seria comparar otros campos comunes, como por ejementonces seguidamente llevarse a cabo una revisión para determinar los nom

I ¿Cuál de las siguientes sería la MEJOR población de la cual tomar una muestra cuando un programa en

pruebas cambia?

La mejor fuente de la cual extraer cualquier ejemplo o prueba de un sistema

automatizado.

Las bibliotecas

de

producción representan

ejecutables

que

estánrocesar los datos de la organización. Los listados de programa fuente serian

I Una prueba integrada (integrated test facility—ITF) se considera una herramienta útil deauditoría porque:

Una facilidad de prueba integrada se considera una herramienta útil de audrogramas para comparar el procesamiento usando datos calculados de mane

establecer entidades ficticias en un sistema de aplicación y procesar datos de pr

I Para identificar el valor del inventario que se ha guardado (no han rotado) por más de ocho semanas,lo MáS probable es que un auditor deSI utilice:

El software generalizado de auditoría facilitara la revisión de todo el archivo de inque cumplan los criterios de selección. El software generalizado de auditoría prorovee funciones de cómputo, estratificación, etc. Los datos de prueba son usados

I Los diagramas de flujo de datos son usados por los Auditores de SI para: Los diagramas de flujo de datos se usan como ayudas para graficar o diagramadatos, con ellos se rastrean los datos desde su origen hasta su destino, resaltando llos datos. Los diagramas de flujo no ordenan los datos en ningún orden jerá

I ¿Cuál de las siguientes formas de evidencia para el auditor se consideraría la MáS confiable? La evidencia obtenida de fuentes externas es por lo general más confiable qula organización. Las cartas de confirmación recibidas desde el exterior, comerificar los balances de cuentas por cobrar, son por lo general altamente confiab

I Un auditor de SI revisa un organigrama PRIMARIAMENTE para: Un organigrama provee información sobre las responsabilidades y la autoridad dEsto ayuda al auditor de SI a saber si hay una segregación apropiada de funciorabajo proporcionaría información sobre las funciones de diferentes empleados.


Las funciones de usuario de sistema operativo de red incluyen la disponibilidade red. Otras funciones serían el acceso del usuario a diversos recursos de autorización del usuario a tener acceso a recursos particulares y la red y



I ¿Cuál de los siguientes pasos realizaría PRIMERO un auditor de SI normalmente en una revisión de Durante la planeación, el auditor de SI debería obtener una visión general de las



I ¿Cuál de los siguientes pasos realizaría PRIMERO un auditor de SI normalmente en una revisión deseguridad del centro de datos?

p gauditadas y evaluar los riesgos de auditoría y de negocios. Las opciones A y D sonde campo de la auditoría que ocurre posterior a esta planeación y preparación. La

I Un Auditor de sistemas que trate de determinar si el acceso a la documentación de programas estárestringido a las personas autorizadas, loMáS probable es que:

Preguntar a los programadores sobre los procedimientos que se están siguiendodeterminar si el acceso a la documentación de programas está restringido Evaluar los planes de retención de registros para almacenamiento fuera de las

I ¿Cuál de los siguientes es una ventaja de una prueba integrada (ITF)? Una prueba integrada crea una entidad ficticia en la base de datos para processimultáneamente con la entrada en vivo. Su ventaja es que las pruebas periódicseparados de prueba. Sin embargo, es necesaria una planeación cuidadosa y los

I ¿Cuál de las siguientes herramientas de auditoría es la MáS importante para un auditor de SI cuandose requiere una pista de auditoría?

Una herramienta de instantánea (snapshot) es más útil cuando se requiere una pista dara incorporar transacciones de prueba en una corrida normal de producción. CIS ransacciones que reúnen ciertos criterios necesitan ser examinadas. Los ganchos de

I Un auditor de SI evalúa los resultados de prueba de una modificación a un sistema que trata concómputo de pagos. El auditor encuentra que el 50 % de los cálculos no coinciden con los totales predeterminados. ¿Cuál de los siguientes es MáS probable que sea el siguiente paso en la auditoría?

El auditor de SI debería luego examinar casos donde ocurrieron cálculos inesultados. Después de que los cálculos hayan sido confirmados, más pruebas pevisadas. La preparación de reportes, hallazgos y recomendaciones no se haría ha

I El MEJOR método de probar la exactitud de un sistema de cálculo de impuestos es:Preparar transacciones simuladas para procesar y comparar los resultados con resuMEJOR método para probar la corrección de un cálculo de impuestos. La revisiónde diagramas de flujo y el análisis de código fuente no son métodos efectivos,

I Un auditor de SI que realiza una revisión de los controles de aplicación evaluaría: Un control de revisión de aplicaciones implica la evaluación de los controles automna evaluación de cualesquiera exposiciones resultantes de las debilidades del ueden ser objetivos de una auditoría de aplicación pero no forman parte de

I Cuando comunican los resultados de auditoría, los auditores de SI deben recordar que en últimainstancia ellos son los responsables ante:

El auditor de SI es en última instancia responsable ante la alta gerencia y ante eunta directiva. Incluso si el auditor de SI debe discutir los hallazgos con el personauditada (opción B), ello se hace únicamente para obtener acuerdo sobre los hal

I Una acción correctiva ha sido tomada por un auditado inmediatamente después de la identificaciónde un hallazgo que debería ser reportado. El auditor debe:

Incluir el hallazgo en el reporte final es una práctica de auditoría generalmente acacción después de que comenzó la auditoría y antes de que terminara, el reporte del hallazgo y describir la acción correctiva tomada. Un reporte de auditoría d

I Durante una revisión de implementación de una aplicación distribuida multiusuario, el auditor as debilidades individualmente son de menor importancia, sin embargo, juntas



Ide SI encuentra debilidades menores en tres áreas—La disposición inicial de parámetrosestá instalada incorrectamente, se están usando contraseñas débiles y algunos reportes vitales

ebilitar sustancialmente la estructura general de control. Las opciones A y D refleuditor de SI para reconocer el efecto combinado de la debilidad de control. Adv

I La función tradicional de un auditor de SI en una autoevaluación de control (control self-assessment—CSA) debe ser la de

Cuando se establecen los programas de CSA, los auditores de SI se convierteontrol interno y en facilitadores de evaluaciones. Los auditores de SI son los gerencia y personal) es el participante en el proceso de CSA. Durante un taller de

I Un auditor de SI revisando la efectividad de los controles de TI, encontró un informe deauditoría anterior, sin documentos de trabajo.¿Cómo debe proceder el auditor de SI?

n ausencia de documentos de trabajo de auditoría, un auditor de SI debe volver a probu efectividad. Sin volver a probar el auditor no estará ejerciendo el debido cuidaealiza la auditoría. Los documentos de trabajo pueden ayudar al auditor a eliminar

I Cuando se está desarrollando una estrategia de auditoría basada en el riesgo, un auditor de SIdebe llevar a cabo una evaluación del riesgo para asegurar que:

ara desarrollar una estrategia de auditoría basada en el riesgo, es crítico que seulnerabilidades. Esto determinará las áreas a ser auditadas y la extensión de la coontroles apropiados requeridos para mitigar los riesgos están instalados es un

I En los casos en que hay desacuerdo, durante una entrevista de salida, respecto al impacto de unhallazgo, el auditor de SI debe:

i los auditados no estuvieran de acuerdo con el impacto de un hallazgo, es importalabore y aclare los riesgos y exposiciones, ya que es posible que los auditados noagnitud de la exposición. La meta debe ser explicar a los auditados o descu

I El éxito de la autoevaluación de control (CSA) depende en gran medida de: l objetivo primario de un programa de CSA es repaldar la función de auditoría intas responsabilidades de monitoreo de control a los gerentes de línea del área funrograma de autoevaluación de control (CSA) depende del grado en el que los g


onitorear el tiempo (A) y los programas de auditoría (D), así como tamdecuada (B) mejorará la productividad del personal de auditoría de SI (eficienco que entrega valor a la organización son los recursos y esfuerzos que se están

I En una auditoría de una aplicación de inventario, ¿qué método proveerá la MEJOR evidencia de quelas órdenes de compra son válidas?

Para determinar la validez de la orden de compra, probar los controles de acceso provLas opciones B y C están basadas en métodos posteriores al hecho, y la opción D porque lo que está en la documentación del sistema puede no ser lo mismo que

I Un auditor de SI debe usar muestreo estadístico y no muestreo de juicio (no estadístico), cuando: ada una tasa de error esperado y un nivel de confianza, el muestreo estadísticoe muestreo, que ayuda a un auditor de SI a determinar el tamaño de la mrobabilidad de error (coeficiente de confianza). La opción B es incorrecta porque e

I ¿Cuál de las siguientes técnicas en línea es más efectiva para la detección temprana de errores o a técnica del gancho de auditoría implica integrar código en los sistemas de apli l i d E d l di d SI

¿ g p pirregularidades? ransacciones seleccionadas. Esto ayuda al auditor de SI a actuar ante un error o u

ontrol. Un modulo integrado de auditoría implica integrar software escrito e


l primer paso para evaluar los controles de monitoreo de la red debe ser la e documentación de red, específicamente los diagramas de topología. Si ctualizada, entonces los procesos de monitoreo y la capacidad para diagnosticar

I Al llevar a cabo una auditoría, un auditor de SI detecta la presencia de un virus. ¿Cuál debe ser elsiguiente paso del auditor de SI?

o primero que un auditor de SI debe hacer después de detectar el virus es alertarganización, luego esperar la respuesta de ésta. La opción A se debe emprender deermitirá al auditor de SI examinar la funcionalidad y la efectividad del sistema de

I Los riesgos asociados con recopilar evidencia electrónica es MáS probable que se reduzcan, en elcaso de un e-mail, por una:

Con una política de registros de e-mail bien archivados, es posible el acceso a o la r-mails específicos, sin revelar otros registros de e-mail confidenciales. Las poolíticas de auditoría no resolverían la eficiencia de recuperación de registros, y

I ¿Cuál de los siguientes es el objetivo PRIMARIO de un proceso de medición dedesempeño/performancia de TI?

Un proceso de medición del desempeño/performancia de TI puede usarse para desempeño/performancia, medir y administrar productosservicios, asegurar la responsabilidad y tomar decisiones de presupuesto. Minimel desem eño/ erformancia ero no es el ob etivo rimario de la administración

I La ventaja de un método de abajo hacia arriba para el desarrollo de políticas organizativas es que las políticas:n método de abajo hacia arriba comienza por definir los requerimientos y políticaserivan y se implementan como el resultado de evaluaciones de riesgo. Las políticesarrollan posteriormente con base en una síntesis de las políticas operativas existen

I Para soportar las metas de una organización, el departamento de SI debe tener: ara asegurar su contribución a la realización de las metas generales de una organizacebe tener planes de largo y corto plazo que sean consistentes con los planes más ara alcanzar sus metas. Las opciones A y C son objetivos, y se necesitarían pla

I Un comité de seguimiento de TI revisaría los sistemas de información PRIMARIAMENTE paradeterminar:

a función de un comité de seguimiento de TI es asegurar que el departamento disión y los objetivos de la organización. Para asegurar esto, el comité debe deteI soportan los requerimientos del negocio. Analizar la funcionalidad adicional

I Desde una perspectiva de control, el elemento clave en las descripciones de trabajos es que: esde una perspectiva de control, la descripción de un trabajo debe establecere reportar/imputabilidad (accountability). Esto ayudará a asegurar que se dé a lon conformidad con las responsabilidades definidas de su trabajo. Las

I El efecto MáS probable de la falta de participación de la alta gerencia en la planeación estratégica de ebe existir un comité de seguimiento para asegurar que las estrategias de TIi ió L i d i é d l í d i f ió i



TI es: rganización. La ausencia de un comité de tecnología de información o un comierentes sería una indicación de falta de participación de la alta gerencia. Esta cond

I ¿Cuál de lo siguiente proveería MEJOR garantía de la integridad del nuevo personal? na investigación de los antecedentes es el método primario para asegurospectivo miembro del personal. Las referencias son importantes y sería neceon tan fiables como la investigación de los antecedentes. La fianza está referencia

I ¿Cuál de los siguientes es el MAYOR riesgo de la definición de una política inadecuada para propiedad de datos y de sistemas?

in una política que defina quién tiene la responsabilidad de otorgar acceso a sayor riesgo de que uno pueda obtener (se le pueda dar a uno) acceso al sisteersona no debería tener autorización. La asignación de autoridad para otorgar ac

I El objetivo PRIMARIO de una auditoría de las políticas de seguridad de TI es asegurar que: a orientación del negocio debe ser el tema principal al implementar la uditoría de las políticas de seguridad de TI debe primordialmente concentrareguridad y control de TI y relacionadas respaldan los objetivos del negocio

I Los objetivos de control de TI son útiles para los auditores de SI, ya que ellos proveen la base paraentender:

n objetivo de control de TI se define como la declaración del resultado deseado o emplementando procedimientos de control en una actividad particular de TI. Elerdaderos para implementar controles y pueden o no ser las mejores prácticas. L

I Al revisar el plan de corto plazo (táctico) de SI, el auditor de SI debe determinar si: La integración de SI y del personal de negocios en los proyectos es un aspecto operatimientras se revisa el plan de corto plazo. Un plan estratégico proveería un marco paraSI. Las opciones B, C y D son áreas cubiertas por un plan estratégico.

I ¿Cuál de los siguientes sería un control compensatorio para mitigar los riesgos resultantes de unasegregación inadecuada de funciones?

as reconciliaciones de control de lote son un ejemplo de controles compensaontroles compensatorios son las bitácoras de transacciones, las pruebas de randependientes y las pistas de auditoría tales como bitácoras de consola, bitácoras

I ¿Cuál de los siguientes es una función de un comité de dirección de SI? l comité de dirección de SI típicamente sirve como una junta general de revisión pae SI y no debe involucrarse en operaciones de rutina, por lo tanto, una de sonitorear los principales proyectos, la situación de los planes y presupuestos de

I La velocidad de cambio de la tecnología aumenta la importancia de: l cambio requiere que se implementen y ejecuten buenos procesos de administn outsourcing a la función de SI no está directamente relacionado con ecnológico. El personal en un departamento típico de SI está altamente calificado

I Una organización que adquiere otros negocios continúa sus sistemas heredados de EDI, y usad d d d d l d ( A ) i i ú d i d

os acuerdos escritos asistirían a la gerencia a asegurar el cumplimiento de loientras que la gerencia debe obtener garantía independiente de cumplimiento



tres proveedores separados de red de valor agregado (VAN). No existe ningún acuerdo escrito deVAN. El auditor de SI debe recomendar a la gerencia que:

ientras que la gerencia debe obtener garantía independiente de cumplimientoasta que exista un contrato. Un aspecto de administrar servicios de terceros e

I ¿Cuál de los siguientes reportes debe utilizar un auditor para verificar el cumplimiento de unrequerimiento de acuerdo de nivel de servicio(SLA) para tiempo productivo ?

a inactividad de SI como por ejemplo el tiempo improductivo, es tratada por losstos reportes proveen los períodos de tiempo durante los cuales la computadora tilizada por los usuarios o por otros procesos. Los reportes de utilización docume

I La implementación de controles eficientes en costos en un sistema automatizado es en últimainstancia responsabilidad de:

s responsabilidad de la gerencia de unidad de negocio implementar controles istema automatizado. Ellos son el mejor grupo en una organización que sabe quecesitan ser asegurados en términos de disponibilidad, confidenciali

I Un auditor de SI encuentra que no todos los empleados tienen conocimiento de la política deseguridad de información de la empresa. El auditor de SI debe concluir que:

odos los empleados deben tener conocimiento de la política de seguridad de levelación no intencional de información sensitiva. La capacitación es un control e concientización de la seguridad para los empleados puede prevenir la reve

I Un auditor de SI revisa un organigrama PRIMARIAMENTE para: n organigrama provee información sobre las responsabilidades y la autoridad de psto ayuda al auditor de SI a saber si hay una segregación apropiada de funciones.

rabajo proporcionaría información sobre las funciones de diferentes empleados. U

I ¿Cuál de las siguientes funciones debe ser realizada por los dueños de aplicación para asegurar unasegregación adecuada de tareas entre SI y los usuarios finales? l dueño

de

aplicación

es

responsable

de

autorizar

el

acceso

a los

datos.

El

desar plicaciones son funciones del departamento de SI. En forma similar, el anális

fectuado por personas calificadas de SI que tengan conocimientos de SI y

I Cuando un empleado es despedido de su servicio, la acción MáS importante es: xiste una probabilidad de que un empleado despedido pueda hacer mal uso dor lo tanto, inhabilitar el acceso lógico de un empleado terminado es la accióebe emprender. Todo el trabajo del empleado terminado necesita ser entregado

I ¿Qué es lo que un auditor de sistemas consideraría MáS relevante para la planificación de corto plazo para el departamento de IS?

l departamento de IS debe considerar específicamente la forma en que se aorto plazo. Las inversiones en TI necesitan estar alineadas con las esdministración, en lugar de concentrarse en la tecnología por la tecnología en sí mi

I ¿Cuál de las metas siguientes esperaría usted encontrar en el plan estratégico de una organización? a planeación estratégica pone en movimiento objetivos corporativos o depaomprehensiva ayuda a asegurar una organización efectiva y eficiente. La rientada al tiempo y a los proyectos, pero también debe resolver y ayudar a de

I El paso inicial para establecer un programa de seguridad de información es: Una declaración de política refleja la intención y el respaldo brindado por la gerencid d i d t bl t d i i i d ll l d



seguridad apropiada y establece un punto de inicio para desarrollar el programa de

I ¿Cuál de los siguientes se encontraría normalmente en los manuales ejecución de aplicaciones? Los manuales de ejecución de aplicaciones deberían incluir acciones que debenoperador cuando ocurre un error. Los documentos fuente y el código fuenteoperador. A pesar de que los diagramas de flujo de datos pueden ser útiles,

I De las funciones siguientes, ¿cuál es la función MáS importante que debe realizar la administraciónde TI cuando se ha dado un servicio para realizarse por outsourcing?

En un ambiente de outsourcing, la compañía depende del desempeño del proveedor es crítico que se monitoree el desempeño del proveedor de outsourcing para ascompañía los servicios que se requieran. El pago de las facturas es una función

I ¿Cuál de las siguientes funciones sería una preocupación si se efectuara junto con administración desistemas?

Un administrador de sistema realiza diversas funciones usando el admin/raíz o un ermite al administrador de sistema tener un acceso ilimitado a los recursos del sist

las actividades del administrador de sistema es la pista de auditoría del sistema, es p

I #############################################################################################################

El establecimiento de períodos contables es una de las actividades críticas de la facceso a esta función al personal en el almacén y en el ingreso de órdenes podría olíticas y procedimientos apropiados para la segregación adecuada de funciones.

deberían ser cambiados a intervalos re ulares sino ue se deberían establecer

I ¿Cuál de los siguientes procedimientos detectaría en forma MáS efectiva la carga de paquetes desoftware ilegal a una red?La verificación periódica de los discos duros sería el método más efectivo de software ilegal cargados a la red. El software antivirus no identificará necesar

enos que el software contenga un virus. Las estaciones de trabajo sin disco du

I Cuando se ha diseñado una política de seguridad de información, lo MáS importante es que la políticade seguridad de información sea:

Para ser efectiva, una política de seguridad de información debería llegar ersonal. Almacenar la política de seguridad fuera del sitio o en un lugar seguro

de poco valor si su contenido no es conocido por los empleados de la

I La responsabilidad de rendir cuentas del mantenimiento de medidas de seguridad apropiadas sobre losactivos de información reside en:

La gerencia debería asegurar que todos los activos de información (datoropietario designado que tome las decisiones sobre clasificación y derechos de

sistema típicamente delegan la custodia cotidiana al grupo de entrega /oper

I #############################################################################################################

Es imperativo que se establezcan procedimientos formales escritos de aproesponsabilidad de rendir cuenta. Esto es verdad tanto para los niveles del gerente

superiores de la gerencia. Las opciones A, C y D sería recomendaciones subsigu

I La responsabilidad y las líneas de reporte no pueden siempre ser establecidas cuando se auditansistemas automatizados ya que:

A causa de la naturaleza diversificada tanto de datos como de sistemas de aplicación, el verdadero propietario de los datos y de las aplicaciones



sistemas automatizados ya que: el verdadero propietario de los datos y de las aplicaciones.

I ¿Cuál de los siguientes consideraría un auditor de SI que es MáS importante cuando se evalúa laestrategia de una organización? Que:

La planeación estratégica pone en movimiento objetivos corporativos o departamestratégicos a largo plazo como a corto plazo deberían ser consistentes con losorganización y los objetivos del negocio para alcanzar estas metas. La respuesta

I Un administrador de datos es responsable de: Un administrador de datos es responsable de definir los elementos de datos, nomrelación. Las opciones A, C y D son funciones de un administrador de base de datosdatos (DBA).

I El desarrollo de una política de seguridad de SI es resposabilidad de: A diferencia de otras políticas corporativas, el marco de la política de seguridad de sde la dirección general, la junta directiva. El departamento de SI es responsableolítica, no teniendo ninguna autoridad en el enmarcado de la política. El com

I ¿Cuál de los siguientes programas es MáS probable que una política sana de seguridad deinformación incluiría, para manejar las intrusiones sospechosas?

Una política sana de seguridad de SI es más probable que esboce un proganejar las intrusiones sospechosas. Los programas de corrección, detección

aspectos de seguridad de información, pero probablemente no serán incluidos en un

I¿Cuál de lo siguiente proveería un mecanismo por el cual la gerencia de SI puede determinar cuándo, y si, las actividades de la empresa se han desviado de los niveles planeados, o de losesperados?

Los métodos de análisis proveen un mecanismo, por el cual la gerencia de SI puede d

actividades de la organización se han desviado de los niveles planeados o de los esperincluyen los presupuestos de SI, la planeación de la capacidad y del crecimiento, los / untos de referencia de la industria las rácticas de erencia financiera el lo ro d

I ¿Cuál de las siguientes situaciones aumentaría la probabilidad de fraude?Los programas de producción se usan para procesar los datos reales y corrientes deasegurar que los controles de los cambios a los programas de producción sean tanrogramas originales. La falta de control en esta área podría tener como resulta

aplicación sean modificados de manera que manipulen los datos. A los programado

I #############################################################################################################

La primera y más importante responsabilidad del auditor de SI es advertir a la riesgo que implica hacer que el administrador de seguridad realice una función deviolación de la separación de funciones. El auditor de SI no debería participar en el pr

I Muchas organizaciones requieren que todos los empleados toman una vacación obligatoria de unasemana o más para:

Las vacaciones requeridas de una semana o más de duración en la que alguienegular realice la función del puesto de trabajo es a menudo obligatoria para la

Esto reduce la oportunidad de cometer actos indebidos o ilegales, y durante

I El grupo de garantía de calidad (quality assurance) es típicamente responsable de: El grupo de garantía de calidad es típicamente responsable de asegurar que rogramas y documentación se adhieran a las normas establecidas. La opción A e



rogramas y documentación se adhieran a las normas establecidas. La opción A ede control de datos, la opción B es responsabilidad de operaciones de com

I ¿Cuál de las siguientes es la MEJOR forma de manejar cintas magnéticas obsoletas antes de disponer de ellas?

La mejor forma de manejar las cintas magnéticas obsoletas es desmagnetizarlas,la divulgación no autorizada o accidental de información, y también impide quvuelvan a ser utilizadas. Sobrescribir o borrar las cintas puede ocasionar errore

I Un comité de dirección de SI debe:Es importante llevar las actas detalladas de los comités de dirección para docuactividades del comité de dirección de SI, y la junta directiva debe ser informad

opción A es incorrecta porque sólo la gerencia principal o los niveles al

I Un administrador de base de datos es responsable de: Un administrador de base de datos es responsable de crear y controlar la bDefinir la propiedad de datos recae en el jefe del departamento de usuario o son comunes para la organización. La gerencia de SI y el administrador de datos

I La participación de la alta gerencia es MáS importante en el desarrollo de: Los planes estratégicos proveen la base para asegurar que la empresa cumplaarticipación de la alta gerencia es crítica para asegurar que el plan logra de

objetivos establecidos. Las políticas de SI, procedimientos, normas y lineamien

I ¿Cuál de los siguientes controles de ingreso de datos provee la MAYOR garantía de que los datosingresados no contienen errores?

La verificación de llave o verificación uno a uno rendirá el grado más alto dingresados están libres de error. Sin embargo, esto podría ser impráctico para grasegregación de funciones de ingreso de datos proveniente de la verificación de i

I Un administrador de LAN estaría normalmente restringido de: Un administrador de LAN no debería tener responsabilidades de progresponsabilidades de usuario final. El administrador de LAN puede reportarse al

operación descentralizada, al gerente de usuario final. En las organizaciones pe

I Un auditor de SI está revisando la función de administración de base de datos para determinar sise ha hecho la disposición adecuada para controlar los datos. El auditor de SI debería determinar que:

El auditor de SI debería determinar que las responsabilidades de la función ddatos no sólo están bien definidas sino también garantizan que el administrador eporte directamente al gerente de SI o al ejecutivo para proveer

I #############################################################################################################

La independencia debería ser constantemente evaluada por el auditor y la gereconsiderar factores tales como las relaciones personales, los intereses financieresponsabilidades del puesto de trabajo. El hecho que el empleado haya trabaj

I ¿Es apropiado que un auditor de SI de una compañía que está considerando hacer outsourcing de suprocesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada

La responsabilidad primaria del auditor de SI es asegurar que los activos de la compañsalvaguardados. Esto es verdad incluso si los activos no residen en las premisas inmed



procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada proveedor?

salvaguardados. Esto es verdad incluso si los activos no residen en las premisas inmed prestigiosas de servicio tendrán un plan de continuidad de negocio bien diseñado y pro

I Una probable ventaja para una organización que ha efectuado outsourcing a su procesamiento deservicios de datos es que:

Outsourcing es un acuerdo contractual por el cual la organización entrega el controltotalidad del procesamiento de información a una parte externa. Esto se hace con frecurecursos o experiencia adicionales que no se obtiene desde el interior de la organización

I Un auditor de SI debería preocuparse cuando un analista de telecomunicación: Las responsabilidades de un analista de telecomunicaciones incluyen requerimienttérminos de volúmenes corrientes y futuros de transacciones (opción B), evaluar e

o los tiempos de respuesta de las terminales y las velocidades de transferencia de dato

I ¿Cuál de los siguientes es un control sobre las actividades de administración de base de datos? Para asegurar la aprobación de la gerencia de las actividades de administración de bcontrol sobre la utilización de herramientas de base de datos, debería haber una revisegistros de acceso. Las actividades de administración de base de datos incluyen

I Un auditor de SI que revisa un contrato de outsourcing de las instalaciones de TI esperaría que éstedefina:

De las opciones, el hardware y el control de acceso de software generalmente uncionalidad, disponibilidad y seguridad puedan ser afectadas, lo cual sería u

específica. De manera similar, la metodología de desarrollo no debería de real

I ¿Cuál de las siguientes funciones representaría un riesgo si se combinara con la de un analista

de sistemas, debido a la falta de controles compensatorios?

Un analista de sistemas no debe realizar tareas de garantía de calidad (QA, singlés) ya que podría obstaculizar la independencia, debido a que el analista de sique desarrolla /diseña el software. Un analista de sistemas puede realizar las otras fues un & uot; ro ramador ciudadano& uot ;. Un ro ramador ciudadano (n

I Un auditor de SI que revisa el plan estratégico de TI de una organización debería PRIMERO revisar: El plan estratégico de TI existe para respaldar el plan de negocios de la organizaestratégico de TI, el auditor de SI necesitaría primero familiarizarse con el plan de

I En una organización pequeña, un empleado realiza operaciones de computadora y, cuando lasituación lo exige, programa modificaciones.¿Cuál de lo siguiente debería recomendar el auditor de SI?

Mientras que se preferiría que la estricta separación de funciones se cumpliera yadicional, como se sugiere en la Opción B, esta práctica no es siempre posibequeñas. El auditor de SI debe buscar procesos alternativos recomendados. De

I ¿Cuál de los siguientes sería incluido en la política de seguridad de SI de una organización? La política de seguridad provee la estructura amplia de la seguridad, como ha sido la alta gerencia. Incluye una definición de las personas autorizadas para otorgar accesLas opciones A, B y C están más detalladas que lo que debería incluirse en una política

I Una política exhaustiva y efectiva de correo electrónico debería resolver los problemas deestructura de correo electrónico, ejecución de políticas, monitoreo y:

Además de ser una buena práctica, las leyes y regulaciones pueden requerir que uinformación que tenga un impacto en los estados financieros. La prevalencia de comunicación de correo electrónico es mantenida en el mismo sentido que el fo



, j p , y comunicación de correo electrónico es mantenida en el mismo sentido que el fo& uot documento& uot hace de la retención de corres ondencia electrónica una

I Una organización ha hecho un outsourcing de su desarrollo de software. ¿Cuál de los siguientes esresponsabilidad de la gerencia de TI de la organización?

Administrar/Gestionar activamente el cumplimiento de los t rminos del conexternalizados (outsourced) es responsabilidad de la gerencia de TI. El paesponsabilidad de finanzas. La negociación del acuerdo contractual ya habría oc

I En una organización donde se ha definido una línea base (baseline) de seguridad de TI el auditor deSI debe PRIMERO asegurar:

El auditor debe primero evaluar la definición del nivel mínimo de línea baseidoneidad de los controles. La documentación, la implementación y el cumplimieadicionales.

I Las operaciones de TI para una gran organización han sido externalizadas (outsourced). ¿Unauditor de SI que revisa la operación externalizada debe estar MáS preocupado por cuál de loshallazgos siguientes?

La falta de una provisión de recuperación de desastre presenta un riesgo Incorporar una disposición de este tipo en el contrato proporcionará a la o"outsourcing" una influencia sobre el proveedor de servicio. Las opcione

I #############################################################################################################

Mover los servidores puede ocasionar una interrupción del negocio y debe ecuperación de desastre sea incluida en el contrato de outsourcing. Las opciones A

durante el desarrollo de las provisiones viables de recuperación de desastre y d

I De los siguientes, ¿qué es lo MáS importante cuando se evalúan los servicios prestados por un proveedor de servicios de Internet (ISP)?

Un contrato de nivel de servicio provee la base para una evaluación adecuada d proveedor está satisfaciendo el nivel de servicio acordado. Las opciones A, C y D evaluación independiente del servicio.

I La implementación de controles de acceso requiere PRIMERO: El primer paso para implementar un control de accesos es un inventario de los ase para la clasificación. El etiquetado de los recursos no puede hacerse sin

clasificaciones de los recursos. La lista de control de accesos (ACL) no se h

I Un auditor de SI que realiza una revisión de los controles generales de las prácticas de gerenciade SI relativas al personal debería prestar particular atención a:

Cuando se realiza una revisión de los controles generales es importante que un auditema de la segregación de funciones, que está afectada por prácticas de vacaciones /cumplimiento de vacaciones obligatorias puede variar dependiendo del país

I ¿Un auditor de SI debería esperar que cuál de los siguientes elementos sean incluidos en lasolicitud de propuesta (RFP) cuando SI está adquiriendo servicios de un proveedor de serviciosindependiente (ISP)?

El auditor de SI debería buscar una verificación independiente que el ISP pueestán siendo contratadas. Las referencias de otros clientes proveerían una independiente, externa, de procedimientos y procesos que sigue el ISP –

I Cuando se revisan las estrategias de SI, el auditor de SI puede determinar MEJOR si la estrategia de SIsoporta los objetivos de negocio de las organizaciones determinando si SI:

Determinar si el plan de SI es consistente con la estrategia de la gerencia relaciona lalos planes del negocio. Las opciones A, C y D

é d f d l l d á í l



p j g gson métodos efectivos para determinar si los planes de SI están en armonía con los o

I Para asegurar que una organización está cumpliendo con los requerimientos de privacidad, el auditor de SI debería PRIMERO revisar:

Para asegurar que la organización esté cumpliendo con los aspectos de prdebería tratar primero los requisitos legales y regulatorios. Para cumplir egulatorios, las organizaciones necesitan adoptar la infraestructura apropiada.

II Una compañía está implementando un protocolo dinámico de configuración de anfitrión(Dynamic Host Configuration Protocol-DHCP). Dado que existen las siguientes condiciones, ¿cuálrepresenta la MAYOR preocupación?

Dado el acceso físico a un puerto, cualquiera puede conectarse a la red intresentan la exposición que presenta el acceso a un puerto. DHCP provee conv

los usuarios de laptop. Compartir las direcciones de IP y la existencia de un

II #############################################################################################################

En un gateway WAP, los mensajes encriptados/cifrados provenientes ddesencriptados/descifrados para transmitir a la Internet y viceversa. Por lo tantodos los mensajes estarían expuestos. SSL protege los mensajes de sniffing

II Para maximizar el desempeño (performance) de una base de datos grande en un ambiente paralelo de procesamiento, ¿cuál de los siguientes se usa para separar los índices?

Una parte esencial de diseñar una base de datos para procesamiento paralelo(partitioning). Como las grandes bases de datos están indexadas, los indices indestar divididos para maximizar el desempeño/performancia. Hashing es un método

II ¿Cuál de los siguientes impedirá tuplas colgantes (dangling tuples) en una base de datos?La integridad de referencia asegura que una llave/clave extraña en una tabla sea irimaria en la otra tabla. Por cada tupla en una tabla que tenga una clave referenciaupla correspondiente en otra tabla, es decir, por la existencia de todas las c

II ¿Cuál de los siguientes reduce MEJOR la capacidad de un dispositivo de capturar los paquetes queestán destinados a otro dispositivo?

Los switches están en el nivel más bajo de seguridad de red y transmiten un está dirigido. Esto reduce la capacidad de un dispositivo de capturar los paquotro dispositivo. Los filtros permiten cierto aislamiento básico de tráfico de re

II El objetivo de control de concurrencia en un sistema de base de datos es: Los controles de concurrencia impiden problemas de integridad de datos, querocesos de actualización acceden al mismo elemento de dato al mismo tiempestringen la actualización de la base de datos a los usuarios autorizados; y a los

II En un sistema de administración de base de datos (DBMS) la ubicación de los datos y el método detener acceso a los datos es provista por:

Un sistema

de

directorio

describe

la

ubicación

de

los

datos

y

el

método

de

accecontiene un índice y la descripción de todos los elementos almacenados en la b

('datos sobre datos') son los elementos de datos requeridos para definir un alm

II En un sistema cliente-servidor, ¿cuál de las siguientes técnicas de control se usa para inspeccionar la actividad de los usuarios conocidos o desconocidos?

Los dispositivos de monitoreo de red pueden usarse para inspeccionar actividadedesconocidos y pueden identificar direcciones de clientes, que pueden asistir en eno autorizado Esto sirve como un control de detección Las estaciones de tra



o autorizado. Esto sirve como un control de detección. Las estaciones de tra

II Un beneficio de Calidad de Servicio (QoS) es que:La principal función de QoS es optimizar el desempeño/performancia de la reaplicaciones del negocio y a los usuarios finales a través de la asignación de paranda a tráfico específico. La opción A no es cierta porque la comunicación m

la velocidad de intercambio de datos odría ser más alta. La dis oni

II Cuando se revisan los parámetros del sistema, la PRINCIPAL preocupación de un auditor de SI,debería ser que:

La principal preocupación es encontrar el balance entre seguridad y desempeñocambios en una pista de auditoría y revisarla periódicamente es un control de d

se establecen los parámetros conforme a reglas del negocio, es posible que el mn control efectivo. Revisar los cambios ara ase urar ue estén res aldados

II El MAYOR riesgo cuando los usuarios finales tienen acceso a una base de datos al nivel de su sistema,en lugar de a través de la aplicación, es que los usuarios pueden:

Tener acceso a la base de datos podr a proveer acceso a las utiler as de la base de dla base de datos sin una pista de auditoría y sin usar la aplicación. El utilizar SQL,de la información [Nota: El primitivo SQL era solamente un lenguaje de consulta ,

-

II #############################################################################################################

La función de resecuenciación de los paquetes (segmentos) recibidos en desorden transporte. Ni la red, ni las capas de sesión o aplicación se encargan de la resecuenc

II Verificar si hay líneas base (baselines) de software autorizado es una actividad realizada dentro de cuálde las siguientes ?La administración de la configuración da cuenta de todos los componentes La administración de proyectos se encarga del cronograma, administración rogreso del desarrollo del software. Las administración de problemas registra

II Para determinar qué usuarios pueden tener acceso al estado de supervisión privilegiado, ¿cuál de lossiguientes debe revisar un auditor de SI?

La revisión de los archivos de configuración del sistema para las opciones dcuáles usuarios tienen acceso al estado de supervisión privilegiado. Tanto acceso a sistemas como los registros de violaciones de acceso son detectivos p

II Un auditor de SI está efectuando una auditoría de un sistema operativo de red. ¿Cuál de lassiguientes es una función de usuario que el auditor de SI debe revisar?

Las funciones de usuario de sistema operativo de red incluyen la ddocumentación de red. Otras funciones serían el acceso del usuario a diver(hosts) de red, la autorización del usuario a tener acceso a recursos pa

II ¿Cuál de los siguientes es un control sobre las fallas/errores de comunicación de componentes? La redundancia, creando alguna forma de duplicación en los componentes de red, n ruteador (router), un switch para prevenir pérdidas, demoras o duplicación de

la falla o error de comunicación del componente. Otros controles relacionados

II Un cable instalado de Ethernet corrido en una red de pares retorcidos no protegidos (UTP) tiene másde 100 metros de longitud. ¿Cuál de los siguientes podría ser causado por la longitud del cable?

La atenuación es el debilitamiento de las señales durante la transmisión. Cuancomienza a leer un 1 por un 0, y el usuario puede experimentar problemas de catenuación alrededor de los 100 metros La interferencia electromagnética (E



atenuación alrededor de los 100 metros. La interferencia electromagnética (E

II El método de direccionamiento del tráfico a través de instalaciones de cable partido (splitcable) o instalaciones de cable duplicado se denomina:

El direccionamiento diverso es el método de direccionamiento del tráfico a travéartido o de instalaciones de cable duplicado, que puede lograrse con

diferentes/duplicadas. El direccionamiento alternativo es el método de direccion

II Un comando "Ping" se usa para medir: La latencia, que se mide usando un comando "Ping", representa ensaje /paquete para viajar desde el origen hasta el destino. Una disminución

na señal se propaga a través de un medio de transmisión se denomina atenuación

II ¿Cuál de los siguientes soportaría MEJOR la disponibilidad 24/7? El mirroring de elementos críticos es una herramienta que facilita la recuperaciespaldo diaria implica que es razonable que el restablecimiento ocurra dentroero no inmediatamente. El almacenamiento fuera del sitio y la prueba periódic

II ¿El análisis de cuál de los siguientes es MáS probable que habilite al auditor de SI para determinar siun programa no aprobado intentó tener acceso a datos sensitivos?

Las bitácoras de sistema son reportes automatizados que identifican la mayoría de la computadora. Se han desarrollado muchos programas que analizan la bitácorasobre puntos definidos específicamente. Los reportes de terminación anormal

II Cuando se analiza la portabilidad de una aplicación de base de datos, el auditor de SI debe verificar que:

El uso de un lenguaje de consultas estructuradas (SQL) es un elemento clave

ase

de

datos.

La importación

y

exportación

de información

con

otros

sistemas

einterfaces de base de datos. El uso de un índice es un objetivo de una revisión de

II En un sistema de procesamiento de transacciones en línea, la integridad de datos es mantenidaasegurando que una transacción sea o bien concluida en su totalidad o no lo sea en absoluto. Este principio de integridad de datos se conoce como:

El principio de atomicidad requiere que una transacción sea completada en su totalidaocurriera un error o interrupción, todos los cambios efectuados hasta ese punto son asegura que todas las condiciones de integridad en la base de datos sean mantenida

II Después de instalar una red, una organización instaló una herramienta de estudio de lavulnerabilidad o escaneador de seguridad para identificar posibles debilidades. ¿Cuál es el riesgoMáS serio asociado con dichas herramientas?

Reporte negativo falso sobre las debilidades significa que las debilidades de identificadas y de ahí que no puedan ser resueltas, dejando la red vulnerable ana en la que los controles están establecidos, pero están evaluados como débi

II En un entorno de LAN, ¿Cuál de los siguientes minimiza el riesgo de corrupción de datos durante latransmisión? Usar conductos

separados

para

cables

de

datos

y

cables

eléctricos,

minimiza

el

riedebido a un campo magnético inducido creado por medio de corriente eléctric

inimiza el riesgo de fuga de datos en caso de intercepción de líneas telefónic

II ¿Cuál de los siguientes consideraría un auditor de SI que es MáS útil cuando se evalúa laefectividad y adecuación de un programa de mantenimiento preventivo de computadora?

Un registro de tiempo improductivo del sistema provee información sobre la eflos programas de mantenimiento preventivo de computadora.



II ¿Cuál de los siguientes es el medio MáS efectivo de determinar qué controles están funcionandocorrectamente en un sistema operativo?

Los parámetros de generación del sistema determinan cómo funciona un sistema, la interacción con la carga de trabajo.

II ¿El control de congestión se maneja MEJOR por cuál capa de OSI?La capa de transporte es responsable de la entrega de datos confiables. Esta cmecanismo de control de flujos que puede detectar congestión, reducir las velo

datos y

aumentar

las

velocidades

de

transmisión

cuando

la

red

parece

que

ya

n

II Los programas de utilería que reúnen módulos de software que se necesitan para ejecutar unaversión de programa de aplicación de instrucciones de máquina son:

Los programas de utilería que reúnen módulos de software que se necesitan para e programa de aplicación de instrucción de máquina son los editores de enlace y los c

II El software de monitoreo de capacidad se usa para asegurar:El software de monitoreo de capacidad muestra, por lo general en forma dámbar y verdes, el uso real de los sistemas en línea frente a su capacidad máxiersonal de soporte de software que tome medidas si el uso comenzara a s

ca acidad dis onible ara ase urar ue se manten a la o eración eficiente en térm

II Una limitación de integridad de referencia está constituida por: Las limitaciones de integridad referencial aseguran que un cambio en una clave primactualizada automáticamente en una llave extranjera coincidente de otras tablas. Esto

II ¿Cuál de las siguientes exposiciones asociadas con el spooling de reportes sensitivos para impresiónfuera de línea consideraría un auditor deSI que es el MáS serio?

A menos que esté controlado, el spooling para impresión fuera de línea permadicionales. Es improbable que los archivos de impresión estén disponibles paoperadores. Los datos en archivos de spool no son más fáciles de enmendar sin

II ¿Cuál de los siguientes es crítico para la selección y adquisición del software de sistema operativocorrecto?

La compra de software de sistema operativo depende del hecho de que el softwarehardware existente. Las opciones A y D, a pesar de ser importantes, no son tan impousuarios no aprueban normalmente la adquisición de software de sistema operativo.

II ¿Cuál de los siguientes medios de línea proveería la MEJOR seguridad para una red detelecomunicación?

Las líneas dedicadas son apartadas para un usuario en particular o para una organizcomparten líneas o puntos intermedios de entrada, el riesgo de intercepción o interrtelecomunicación es más bajo.

II ¿Cuál de los siguientes tipos de firewall protegería MEJOR una red contra un ataque de Internet?n Firewall filtrado de red subordinada proveería la mejor protección. El router

outer comercial o un nodo con capacidades de direccionamiento que puedapacidad para permitir o evitar el tráfico entre redes o entre nodos basándose

p p p

II #############################################################################################################

DI es la mejor respuesta. Implementado debidamente (por ejemplo, contratos conntre los socios comerciales, controles sobre los mecanismos de seguridad de lontroles de aplicación) EDI se adecúa mejor para identificar y dar seguimiento a l

II ¿Cuál de los siguientes componentes es ampliamente aceptado como uno de los componentes críticosen la administración de redes?

a administración de configuraciones es ampliamente aceptada como uno de ualquier red dado que establece cómo funcionará la red tanto interna como extern

e la administración de la configuración y del monitoreo del desempeño. Los m

II Aplicar una fecha de retención en un archivo asegurará que: na fecha de retención asegurará que un archivo no pueda ser sobrescrito antes de a fecha de retención no afectará la capacidad de leer el archivo. Las copias de respana fecha de retención diferente y por lo tanto puedan bien ser retenidas después d

II Las redes neurales son efectivas para detectar el fraude porque pueden: as redes neurales se pueden usar para atacar problemas que requieren consideraciónnput. Ellas son capaces de captar relaciones y patrones que a menudo se lesstadísticos. Las redes neurales no descubrirán nuevas tendencias. Ellas son in

II ¿Cuál de los siguientes traduce formatos de correo electrónico desde una red a otra para que elmensaje pueda viajar a través de todas las redes?

n gateway realiza el trabajo de traducir formatos de correo electr nico de una red a

uedan seguir su camino a través de todas las redes. Un convertidor de protocolo esue convierte entre dos tipos diferentes de transmisiones, como por ejemplo

II > Suponiendo que este diagrama representa una instalación interna y la organización estáimplementando un programa de protección de firewall, ¿Dónde deberían instalarse los firewalls?

El objetivo de un firewall es proteger una red confiable contra una red no confiable; pque necesitan implementaciones de firewall estarían en la existencia de las conexionesrespuestas son incompletes o representan conexiones internas.

II > Para las ubicaciones 3a, 1d y 3d, el diagrama indica hubs con líneas que parecen estar abiertas y activas. Suponiendo que es verdad,¿qué controles, si hubiera, se recomendaría para mitigar esta debilidad?

os hubs abiertos representan una debilidad significativa de control a causa del potonexión de red. Un hub inteligente permitiría la desactivación de un solo Puertuertos restantes. Adicionalmente, la seguridad física también proveería una protecció

II > En el área 2c del diagrama, hay tres hubs conectados entre sí. ¿Qué riesgo potencial podría estoindicar?

os hubs son dispositivos internos que generalmente no tienen conectividad externa dropensos a hackers. No se conocen virus que sean específicos para los ataques de ituación puede ser un indicador de controles deficientes de la gerencia, La opció

II Cuando una PC que ha sido utilizada para el almacenamiento de datos confidenciales es vendida en elmercado abierto:

l disco duro debe ser desmagnetizado ya que esto causará que todos los bits seansí cualquier posibilidad de que la información que haya estado almacenada anteecuperada. Un formato de nivel medio no borra información del disco duro, sólo



p ,

II Un puerto serial universal (USB): El puerto USB conecta la red sin tener que instalar una tarjeta separada de interfaz decomputadora usando un adaptador USB de Ethernet.

II ¿Cómo puede una empresa proveer acceso a su Intranet (i.e., extranet) a través de la Internet a sussocios comerciales?

na red virtual privada (VPN, siglas de los términos en inglés) permite que los soceguridad en la extranet usando redes públicas como un transporte o redes privadu bajo costo, usar .las redes públicas (Internet)como transporte es el métodasan en técnicas de tunelización/enca sulación, ue ermiten ue el rotocolo

II #############################################################################################################

a mayor preocupación cuando se implementan firewalls encima de sistemas opresencia potencial de vulnerabilidades que podrían socavar la postura de seguride firewall. En la mayoría de las circunstancias, cuando se violan los firewalls com

II Un hub es un dispositivo que conecta: n hub es un dispositivo que conecta dos segmentos de un solo LAN, Un hubonectividad transparente a los usuarios en todos los segmentos del mismo LAN. Esn puente opera en el nivel 2 de la capa OSI y se usa para conectar dos LANs us

II ¿Cuál de los siguientes ayudaría a asegurar la portabilidad de una aplicación conectada a una base dedatos?

l uso de lenguaje estructurado de pregunta (SQL) facilita la portabilidad. La verifica

mportación y exportación con otros sistemas asegura mejor interfaz con otrrocedimientos/triggers almacenados asegura el acceso/desempeño apropiado, y r

II ¿Cuál de los siguientes dispositivos de hardware libera a la computadora central de realizar tareas decontrol de red, conversión de formato y manejo de mensajes?

Un Procesador de inicio de comunicación (Front-end) es un dispositivo de hardware qde comunicación a una computadora central para liberar a la computadora central.

II ¿Cuál de los siguientes se puede usar para verificar los resultados del output y los totales de controlhaciéndolos coincidir contra los totales de datos de input y de control?

l balanceo de lote se usa para verificar los resultados de output y los totaloincidir contra los datos de input y los totales de control. Los formularios de ena preparación de datos; las correcciones de error de conversión de datos corrige

II ¿Cuál de los siguientes esperaría encontrar un auditor de SI en un registro de consola? Los errores de sistema son los únicos que uno esperaría encontrar en el registro de con

II ¿Cuál de las siguientes metodologías basadas en sistema emplearía una compañía de procesamientofinanciero para monitorear los patrones de gasto para identificar patrones anormales y reportarlos?

Una red neural monitoreará y conocerá patrones, reportando las excepciones para iadministración de base de datos es un método de almacenar y recuperar datos. La de información provee estadísticas de gerencia pero normalmente no tiene un



p g p

II #############################################################################################################

Para que la microcomputadora del auditor de SI se comunique con la mainframe, un convertidor de protocolo para convertir la transmisión asíncrona y la síncrona.debe ser enviado al buffer para compensar las velocidades diferentes de flujo de datos

II La interfaz que permite acceso a los servicios de red de nivel más bajo o más alto se denomina:Middleware, una clase de software empleado por las aplicaciones cliente-servidoor ejemplo, identificación, autenticación, directorios y seguridad. Facilita las cravés de la red y permite que las aplicaciones de cliente tengan acceso y actualicen

II ¿Cuál de los siguientes controles detectará en forma MáS efectiva la presencia de surgimientos deerrores en las transmisiones de red?

La verificación de redundancia cíclica (CRC, siglas de los términos en inglés) pudatos transmitidos. Las estaciones de trabajo generan la CRC y la transmiten conLa estación de trabajo que recibe computa una CRC y la compara con la estaciónambas son iguales entonces se asume que el bloque está libre de error. En este caso

II ¿Cuál de los siguientes tipos de firewalls provee el MAYOR grado y granularidad de control?El gateway de aplicación es similar a un gateway de circuito, pero tiene proxies esPara poder manejar los servicios web tiene un proxy de http, que actúa como un e internos, pero específicamente para http. Esto significa que no sólo verifica el (ca a 3 los uertos a los ue está diri ido (en este caso el uerto 80, la ca

II ¿Cuál de las capas del modelo ISO/ OSI provee servicio para cómo enrutar los paquetes entre los

nodos?

La información de interruptores y rutas de capas de red (encabezador o header de cenlace de datos nodo a nodo se extienden a través de la red mediante esta capa. L

servicio para cómo enrutar los paquetes (unidades de información en la capa de reda través de una red arbitraria. La capa de enlace de datos transmite información co

II En una red basada en TCP/IP, una dirección de IP especifica:Una dirección de IP especifica una conexión de red. Como una dirección de IP codanfitrión en esa red, ellos no especifican una computadora individual, sino una co/gateway conecta dos redes y tendrá dos direcciones de IP. De ahí que, una

II El dispositivo para extender la red que debe tener capacidad de almacenamiento para almacenar marcos (frames) y para actuar como un dispositivo de almacenamiento y reenvío es un:

Los puentes conectan dos redes separadas para formar una red lógica (por ejeethernet con un red de token). Este dispositivo de hardware debe tener capacidaalmacenar marcos y para actuar como un dispositivo de almacenamiento y reen

II En una arquitectura cliente /servidor, un servicio de nombre de dominio (domain name service-DNS)es lo MáS importante porque provee:

El DNS es primariamente utilizado en la Internet para la resolución del nombre &dservicio de Internet que traduce nombres de dominio en dirección es de IP. Como lson más fáciles de recordar. Sin embargo, la Internet se basa en direcciones de

II En un servidor de web, una interfaz común de gateway (CGI) es usada con la MAYOR frecuenciacomo:

La interfaz común de gateway (CGI) es una forma estándar para que un servidor

suario de web a un programa de aplicación y para que reciba y envíe los dsuario solicita una página de web (por ejemplo, presionando en una palabra



II Recibir una transacción de intercambio electrónico de datos (electronic data interchange-EDI) y pasarla a través de la etapa de interfaz de comunicaciones requiere a menudo:

La etapa de interfaz de comunicaciones requiere procedimientos de verificacióno ANSI X12 es un estándar que debe ser interpretado por una aplicación procesadas y luego facturadas, pagadas y enviadas, tanto si corresponden a mercan

II Para un sistema de procesamiento de transacciones en línea, las transacciones por segundo es unamedida de:

Las medidas de throughput miden cuánto trabajo es efectuado por un sistema durantela productividad del sistema. En un sistemade procesamiento de transacciones en línea, las transacciones por segundo son un ín

de res uesta se define como la lon itud de tiem o ue transcurrió entre el sometim

II ¿Qué es un riesgo asociado con intentar controlar el acceso físico a las áreas sensitivas, como por ejemplo salas de computadora, a través de llaves de tarjeta, cerrojos, etc.?

El concepto de piggybacking compromete todo el control físico establecidreocupación mínima en un entorno de recuperación de desastre. Los puntos eácilmente. Respecto a la opción D, la tecnología está cambiando constantemente

II ¿Cuál de las siguientes se consideraría una característica esencial de un sistema de administración dered?

Para rastrear la topología de la red sería esencial que existiera una interfaz grácada red esté en la Internet y un help desk, y la capacidad de exportar a una hojaesencial.

II El error más probable que ocurre cuando se implementa un firewall es: Una lista de acceso actualizada e impecable es un desafío significativo y, por lo tande errores en el momento de la instalación inicial. Las contraseñas no se aplican a loun firewall y un ataque de virus no es un elemento al implementar un firewall.

II ¿Cuál de las siguientes disposiciones físicas de LAN está sujeta a pérdida total si falla un dispositivo? La red de bus es vulnerable a falla si falla un dispositivo. Los dispositivos están ceste calbe es cortado, todos los dispositivos más allá del punto de corte no estarían d

II Una herramienta de diagnóstico de red que monitorea y registra información de red es un: Los analizadores de protocolo son herramientas de diagnóstico de red que monitde red de los paquetes que viajan en el enlace al que está conectado el analizador. LA) miden las transmisiones de telecomunicaciones y determinan si las transmisione

II ¿Cuál de los siguientes ayudará a detectar los cambios efectuados por un intruso al registro de sistemade un servidor?

Un CD que se escribe una sola vez no puede ser sobrescrito. Por lo tanto, el

en el disco podría compararse con el registro original para detectar diferencias,cambios efectuados por un intruso. Proteger la escritura en el registro de sistema

II Cuando se revisa la implementación de una LAN el auditor de SI debe PRIMERO revisar: Paras revisar debidamente una implementación de LAN, el auditor de SI debe primered y confirmar la aprobación. La verificación de nodos de la lista de nodos y el diaseguido por una revisión del reporte de la prueba de aceptación y luego la lista del us



g p p p p y g

II ¿Cuál de los siguientes es un ejemplo del principio de defensa exhaustiva de la seguridad?Defensa exhaustiva (in-depth) significa usar diferentes mecanismos de seguridadCuando el tráfico de red pasa involuntariamente un firewall, los controles desegunda línea de defensa. Usar dos firewalls de diferentes vendedores para veri

II ¿Cuál de los siguientes asegura MEJOR la integridad del sistema operativo de un servidor?Endurecer (hardening) un sistema significa configurarlo en la forma más arches de seguridad, definir debidamente la autorización de acceso para

inhabilitar las opciones inseguras y desinstalar los servicios no utilizados) pa

II ¿Cuál de los siguientes componentes de red es PRIMARIAMENTE establecido para servir comouna medida de seguridad impidiendo el tráfico no autorizado entre diferentes segmentos de la red?

Los sistemas Firewall son la herramienta primaria que permite que una organiautorizado entre las redes. Una organización puede escoger utilizar uno o más siirewalls. Los routers pueden filtrar paquetes basados en parámetros, como por e

II Para evaluar la integridad referencial de una base de datos un auditor de SI debe revisar: Una llave/clave externa es una columna en una tabla que referencia a una llave/croveyendo así la integridad referencial. Las llaves/claves compuestas están c

columnas designadas juntas como la llave/clave primaria de una tabla. La inde

II Un auditor de SI detectó que varias PCs conectados con el Internet tienen un nivel bajo de seguridad

que está

permitiendo

el

registro

libre

de cookies.

Este

crea

un

riesgo

porque

las

cookies

almacenanlocalmente:

El archivo de cookies reside en la máquina cliente. Contiene datos pasados desdesitios web puedan comunicarse con este archivo cuando el mismo cliente regresa. Eesa parte del archivo de cookie que representa la interacción con ese sitio web e

II ¿Cuál de los siguientes es la causa MáS probable para que un servidor de correo sea usado para enviar spam?

Un proxy abierto (o relay abierto) permite que personas no autorizadas dirijan (roservidor de correo de otro. POP3 y SMTP son protocolos de correo comúnmente uactividad (accounting) de usuarios no se relaciona con usar un servidor para enviar s

II La preocupación de seguridad MáS significativa cuando se usa una memoria flash (por ejemplo, discoremovible USB) es que:

A menos que esté debidamente controlada, una memoria flash provee una poscopie cualquier contenido con facilidad. Los contenidos almacenados en la meSacar copias de respaldo a los datos de la memoria flash no es una preocupación d

II Un auditor de SI que revisa una aplicación de base de datos descubre que la configuraciónactual no coincide con la estructura diseñada originalmente. ¿Cuál de los siguientes debería ser la próxima acción del auditor de SI?

El auditor de SI debe primero determinar si las modificaciones fueron aprobadas debB y C son posibles acciones posteriores, si el auditor encuentra que la modificación aprobada.

II El administrador de base de datos (DBA) sugiere que la eficiencia de la Base de Datos (DB) puede ser mejorada desnormalizando algunas tablas. Esto resultaría en:

La normalización es un proceso de diseño o de optimización para una base deinimiza la redundancia; por lo tanto, la desnormalización aumentaría la redund

or lo general, considerada positiva cuando es una cuestión de disponibilidad de



II ¿Cuál de los siguientes es el método MáS efectivo para tratar con la divulgación de un gusano de redque se aprovecha de la vulnerabilidad en un protocolo?

Detener el servicio e instalar la reparación de seguridad es la forma más segura extienda. Si el servicio no es detenido, instalar la reparación no es el método máscontinúa extendiéndose hasta que la reparación se vuelve efectiva. Bloquear el p

II #############################################################################################################

Un monitor de referencia es un mecanismo abstracto que verifica cada solicitu(proceso de usuario) para tener acceso y usa un objeto (por ej., archivo, diasegurar que la solicitud cumple con una política de seguridad. Un m

II Las herramientas de filtrado de la web y del correo electrónico son PRINCIPALMENTE valiosas parauna organización porque ellas:

La razón principal para invertir en herramientas de filtrado de la web y de correo elecsignificativamente los riesgos relacionados con virus y material que no es del negocierta en algunas circunstancias (i.e., necesitaría ser implementada ajunto con un

II ¿Cuál de los siguientes es el MAYOR riesgo relacionado con el monitoreo de los registros deauditoría?

Si no se investigan las acciones no autorizadas del sistema, el registro no tiene antes de una revisión periódica es un riesgo pero no es tan crítico como la necesidacuestionables. Registrar los eventos de rutina pueden hacer más difícil reconocer

II Un comité de seguimiento de TI revisaría los sistemas de información PRIMARIAMENTE para

determinar:

La función de un comité de seguimiento de TI es asegurar que el departamento disión y los objetivos de la organización. Para asegurar esto, el comité debe dete

TI soportan los requerimientos del negocio. Analizar la funcionalidad adicional

II El efecto MáS probable de la falta de participación de la alta gerencia en la planeación estratégica deTI es:

Debe existir un comité de seguimiento para asegurar que las estrategias de Torganización. La ausencia de un comité de tecnología de información o un comgerentes sería una indicación de falta de participación de la alta gerencia. Esta con

II ¿Cuál de los siguientes es una función de un comité de dirección de SI? El comité de dirección de SI típicamente sirve como una junta general de revisión pde SI y no debe involucrarse en operaciones de rutina, por lo tanto, una de

onitorear los principales proyectos, la situación de los planes y presupuestos de

II Un comité de dirección de SI debe:Es importante llevar las actas detalladas de los comités de dirección para documactividades del comité de dirección de SI, y la junta directiva debe ser informadaopción A es incorrecta porque sólo la gerencia principal o los niveles alto

II La participación de la alta gerencia es MáS importante en el desarrollo de: Los planes estratégicos proveen la base para asegurar que la empresa cumplaarticipación de la alta gerencia es crítica para asegurar que el plan logra de

objetivos establecidos. Las políticas de SI, procedimientos, normas y lineamien



II El gobierno efectivo de TI asegurará que el plan de TI sea consistente con el: Para gobernar TI eficazmente, TI y el negocio deben moverse en la misma direc planes de TI estén alineados con los planes de negocio de una organización. Losinversión no forman parte del plan de TI y el plan de seguridad debe ser al nivel corp

II Establecer el nivel de riesgo aceptable es responsabilidad de: La alta gerencia debería establecer el nivel de riesgo aceptable, ya que ellos son los instancia o los responsables finales de la operación efectiva y eficiente de la organiz

deberían actuar como asesores de la alta gerencia para determinar un nivel aceptable

II El gobierno de TI es PRIMARIAMENTE responsabilidad del: El gobierno de TI es primariamente responsabilidad de los ejecutivos y de lor la junta directiva [board of directors.]) El director general es instrumental

de TI en conformidad con las instrucciones de la junta directiva. El comité de se

II Desde una perspectiva de control, el elemento clave en las descripciones de trabajos es que:Desde una perspectiva de control, la descripción de un trabajo debe establecer eportar/imputabilidad (accountability). Esto ayudará a asegurar que se dé a los

conformidad con las responsabilidades definidas de su trabajo. Las otras opc

II ¿Cuál de lo siguiente proveería MEJOR garantía de la integridad del nuevo personal? Una investigación de los antecedentes es el método primario para asegurar la

iembro del personal. Las referencias son importantes y sería necesario verificacomo la investigación de los antecedentes. La fianza está referenciando al cumplim

II ¿Cuál de los siguientes sería un control compensatorio para mitigar los riesgos resultantes de unasegregación inadecuada de funciones?

Las reconciliaciones de control de lote son un ejemplo de controles compencontroles compensatorios son las bitácoras de transacciones, las pruebas deindependientes y las pistas de auditoría tales como bitácoras de consola, bitácoras

II Cuando un empleado es despedido de su servicio, la acción MáS importante es: Existe una probabilidad de que un empleado despedido pueda hacer mal usoor lo tanto, inhabilitar el acceso lógico de un empleado terminado es la acc

debe emprender. Todo el trabajo del empleado terminado necesita ser entregad

II El cuadro de mandos o marcador balanceado (balanced scorecard) de TI es una herramienta degobierno del negocio que está destinada a monitorear los indicadores de evaluación del desempeño(performance) de TI aparte de:

Los resultados

financieros

han

sido

tradicionalmente

la

única

medida

general

dandos o marcador balanceado de TI (BSC) es una herramienta de gobierno d

onitorear los indicadores de evaluación del desempeño de TI además de

II La función de establecimiento del libro mayor/mayor general (general ledger) en un paqueteempresarial (ERP) permite fijar períodos contables. El acceso a esta función ha sido permitido a lossuarios en finanzas, almacén e ingreso de órdenes. La razón MáS probable para dicho amplio

El establecimiento de períodos contables es una de las actividades críticas de la acceso a esta función al personal en el almacén y en el ingreso de órdenes podríaolíticas y procedimientos apropiados para la segregación adecuada de funciones





II Muchas organizaciones requieren que todos los empleados toman una vacación obligatoria de unasemana o más para:

Las vacaciones requeridas de una semana o más de duración en la que alguieegular realice la función del puesto de trabajo es a menudo obligatoria para las educe la oportunidad de cometer actos indebidos o ilegales, y durante est

II Un administrador de LAN estaría normalmente restringido de: Un administrador de LAN no debería tener responsabilidades de prograesponsabilidades de usuario final. El administrador de LAN puede reportarse al


II Un empleado de SI de largo plazo que cuenta con un antecedente técnico fuerte y con ampliaexperiencia gerencial ha aplicado para una posición vacante en el departamento de auditoría deSI. La determinación de si se debe contratar a esta persona para esta posición debería basarse e

La independencia deber a ser constantemente evaluada por el auditor y la gerenconsiderar factores tales como las relaciones personales, los intereses financieroesponsabilidades del puesto de trabajo. El hecho que el empleado haya trabaja

II Un auditor de SI debería preocuparse cuando un analista de telecomunicación: Las responsabilidades de un analista de telecomunicaciones incluyen requerimientérminos de volúmenes corrientes y futuros de transacciones (opción B), evaluar o los tiempos de respuesta de las terminales y las velocidades de transferencia de dat

II Antes de implementar un cuadro de mandos o marcador balanceado (balanced scorecard) de TI, unaorganización debe:

Se requiere una definición de indicadores clave de desempeño antes de implementarmarcador balanceado (balanced scorecard) deTI. Las opciones A, C y D son objetivos.

II Para soportar las metas de una organización, el departamento de SI debe tener: Para asegurar su contribución a la realización de las metas generales de una organizdebe tener planes de largo y corto plazo que sean consistentes con los planes másara alcanzar sus metas. Las opciones A y C son objetivos, y se necesitarían p

II Al revisar el plan de corto plazo (táctico) de SI, el auditor de SI debe determinar si: La integración de SI y del personal de negocios en los proyectos es un aspecto operatmientras se revisa el plan de corto plazo. Un plan estratégico proveería un marco parLas opciones B, C y D son áreas cubiertas por un plan estratégico.

II ¿Qué es lo que un auditor de sistemas consideraría MáS relevante para la planificación de corto plazo para el departamento de IS?

El departamento de IS debe considerar específicamente la forma en que se corto plazo. Las inversiones en TI necesitan estar alineadas con las estrategias prien lugar de concentrarse en la tecnología por la tecnología en sí misma. Llev

II ¿Cuál de las metas siguientes esperaría usted encontrar en el plan estratégico de una organización?La planeación estratégica pone en movimiento objetivos corporativos o depcomprehensiva ayuda a asegurar una organización efectiva y eficiente. La planeacal tiempo y a los proyectos, pero también debe resolver y ayudar a determinar p



II ¿Cuál de los siguientes consideraría un auditor de SI que es MáS importante cuando se evalúa laestrategia de una organización? Que:

La planeación estratégica pone en movimiento objetivos corporativos o departestratégicos a largo plazo como a corto plazo deberían ser consistentes con organización y los objetivos del negocio para alcanzar estas metas. La respuesta

II Un auditor de SI que revisa el plan estratégico de TI de una organización debería PRIMERO revisar: El plan estratégico de TI existe para respaldar el plan de negocios de la organizestratégico de TI, el auditor de SI necesitaría primero familiarizarse con el plan d

II Cuando se revisan las estrategias de SI, el auditor de SI puede determinar MEJOR si la estrategia de SIsoporta los objetivos de negocio de las organizaciones determinando si SI:

Determinar si el plan de SI es consistente con la estrategia de la gerencia relaciona lalos planes del negocio. Las opciones A, C y Dson métodos efectivos para determinar si los planes de SI están en armonía con los o

II La ventaja de un método de abajo hacia arriba para el desarrollo de políticas organizativas es que las políticas:

Un método de abajo hacia arriba comienza por definir los requerimientos y políticderivan y se implementan como el resultado de evaluaciones de riesgo. Las polítdesarrollan posteriormente con base en una síntesis de las políticas operativas existe

II ¿Cuál de los siguientes es el MAYOR riesgo de la definición de una política inadecuada para propiedad de datos y de sistemas?

Sin una política que defina quién tiene la responsabilidad de otorgar acceso a

ayor riesgo de que uno pueda obtener (se le pueda dar a uno) acceso al siersona no debería tener autorización. La asignación de autoridad para otorgar

II El objetivo PRIMARIO de una auditoría de las políticas de seguridad de TI es asegurar que: La orientación del negocio debe ser el tema principal al implementar la seguride las políticas de seguridad de TI debe primordialmente concentrarse en si control de TI y relacionadas respaldan los objetivos del negocio y de TI. R

II La velocidad de cambio de la tecnología aumenta la importancia de: El cambio requiere que se implementen y ejecuten buenos procesos de adminin outsourcing a la función de SI no está directamente relacionado coecnológico. El personal en un departamento típico de SI está altamente calificad

II Un auditor de SI encuentra que no todos los empleados tienen conocimiento de la política deseguridad de información de la empresa. El auditor de SI debe concluir que:

Todos los empleados deben tener conocimiento de la política de seguridad de evelación no intencional de información sensitiva. La capacitación es un control

de concientización de la seguridad para los empleados puede prevenir la rev



II Para asegurar que una organización está cumpliendo con los requerimientos de privacidad, el auditor de SI debería PRIMERO revisar:

ara asegurar que la organización esté cumpliendo con los aspectos de privebería tratar primero los requisitos legales y regulatorios. Para cumplir cegulatorios, las organizaciones necesitan adoptar la infraestructura apropiada.



II Los objetivos de control de TI son útiles para los auditores de SI, ya que ellos proveen la base paraentender:

n objetivo de control de TI se define como la declaración del resultado deseado o emplementando procedimientos de control en una actividad particular de TI. Elerdaderos para implementar controles y pueden o no ser las mejores prácticas. L

II El paso inicial para establecer un programa de seguridad de información es: Una declaración de política refleja la intención y el respaldo brindado por la gerenciseguridad apropiada y establece un punto de inicio para desarrollar el programa de s

II Un auditor de SI que realiza una revisión de los controles generales de las prácticas de gerenciade SI relativas al personal debería prestar particular atención a:

Cuando se realiza una revisión de los controles generales es importante que un audema de la segregación de funciones, que está afectada por prácticas de vacaciones umplimiento de vacaciones obligatorias puede variar dependiendo del pa

II Una organización que adquiere otros negocios continúa sus sistemas heredados de EDI, y usatres proveedores separados de red de valor agregado (VAN). No existe ningún acuerdo escrito deVAN. El auditor de SI debe recomendar a la gerencia que:

os acuerdos escritos asistirían a la gerencia a asegurar el cumplimiento de loientras que la gerencia debe obtener garantía independiente de cumplimiento

asta que exista un contrato. Un aspecto de administrar servicios de terceros e

II De las funciones siguientes, ¿cuál es la función MáS importante que debe realizar la administración

de TI

cuando

se

ha

dado

un

servicio

para realizarse

por

outsourcing?

n un ambiente de outsourcing, la compañía depende del desempeño del proveedor s crítico que se monitoree el desempeño del proveedor de outsourcing para aseompañía los servicios que se requieran. El pago de las facturas es una función f

II ¿Es apropiado que un auditor de SI de una compañía que está considerando hacer outsourcing de su procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada proveedor?

La responsabilidad primaria del auditor de SI es asegurar que los activos de la compañsalvaguardados. Esto es verdad incluso si los activos no residen en las premisas inmed prestigiosas de servicio tendrán un plan de continuidad de negocio bien diseñado y pr

II Una probable ventaja para una organización que ha efectuado outsourcing a su procesamiento deservicios de datos es que:

Outsourcing es un acuerdo contractual por el cual la organización entrega el controltotalidad del procesamiento de información a una parte externa. Esto se hace con frecrecursos o experiencia adicionales que no se obtiene desde el interior de la organizació

II Un auditor

de

SI

que

revisa

un

contrato

de

outsourcing

de

las

instalaciones

de

TI

esperaría

que

éstedefina:

e las opciones, el hardware y el control de acceso de software generalmenteuncionalidad, disponibilidad y seguridad puedan ser afectadas, lo cual sería uspecífica. De manera similar, la metodología de desarrollo no debería de real

II Cuando efectúa una revisión de la estructura de un sistema de transferencia electrónica deondos (EFT), un auditor de SI observa que la infraestructura tecnológica está basada en u

esquema centralizado de procesamiento que ha sido asignado (outsourced) a un proveedor en otro

En el proceso de transferencia de fondos, cuando el esquema de procesamienaís diferente, podría haber problemas legales de jurisdicción que pudieran afectevisión en el otro país. Las otras opciones, aunque posibles, no son tan relev



II Una organización ha hecho un outsourcing de su desarrollo de software. ¿Cuál de los siguientes esresponsabilidad de la gerencia de TI de la organización?

Administrar/Gestionar activamente el cumplimiento de los términos del cexternalizados (outsourced) es responsabilidad de la gerencia de TI. El esponsabilidad de finanzas. La negociación del acuerdo contractual ya habría

II ¿Un auditor de SI debería esperar que cuál de los siguientes elementos sean incluidos en lasolicitud de propuesta (RFP) cuando SI está adquiriendo servicios de un proveedor de servicios

independiente (ISP)?

El auditor de SI debería buscar una verificación independiente que el ISP pestán siendo contratadas. Las referencias de otros clientes proveerían unindependiente, externa, de procedimientos y procesos que sigue el ISP &nda

II Los riesgos asociados con recopilar evidencia electrónica es MáS probable que se reduzcan, en el casode un e-mail, por una:

Con una política de registros de e-mail bien archivados, es posible el acceso a o la rails específicos, sin revelar otros registros de e-mail confidenciales. Las políticas

de auditoría no resolverían la eficiencia de recuperación de registros, y destru

II El resultado (output) del proceso de administración de riesgos es un input para hacer: El proceso de administración del riesgo trata sobre la toma de decisiones relacionespecífica, tal como el nivel de riesgo aceptable. Las opciones A, B y D no son las proceso de administración del riesgo.

II Un auditor de SI fue contratado para revisar la seguridad de un negocio electrónico (e-

business). La primera tarea del auditor de SI fue examinar cada aplicación existente de e-businessen busca de vulnerabilidades. ¿Cuál sería la siguiente tarea?

El auditor de SI debe identificar los activos, buscar vulnerabilidades, y luego

robabilidad de que ocurran. Las opciones A, B y D deberían ser discutidas c(Chief Information Officer—CIO) y se debería entregar un reporte

II ¿Cuál de los siguientes es un mecanismo para mitigar los riesgos? Los riesgos se mitigan implementando prácticas apropiadas de seguridad y de contrmecanismo para transferir el riesgo. La auditoría y la certificación son mecanismos y los contratos y SLAs son mecanismos de asignación de riesgo.

II Cuando se desarrolla un programa de administración de riesgos, la PRIMERA actividad que se deberealizar es:

La identificación de los activos a ser protegidos es el primer paso en el desaradministración de riesgos. Un listado de las amenazas que pueden afectar el deseanálisis de criticalidad son pasos posteriores en el proceso. La clasificación de d

II Un equipo que lleva a cabo un análisis de riesgo está teniendo dificultad para proyectar las pérdidasfinancieras que podrían resultar de riesgo. Para evaluar las pérdidas potenciales el equipo debería:

La práctica

común,

cuando

es

difícil

calcular

las

pérdidas

financieras,

es

tomar

uque el gerente afectado por el riesgo define la pérdida financiera en términos de un

n impacto muy bajo para el negocio y 5 es un impacto muy alto). Un ROI es comp



II Dar responsabilidad a las unidades del negocio sobre el desarrollo de aplicaciones conducirá MUY probablemente a:

l desarrollar aplicaciones en las unidades de negocio, los usuarios ahora a cargo vadir los controles. Las opciones A, C y D no están relacionadas con, ni puede asumas funciones de SI a las unidades de negocio; de hecho, en algunos casos, se pued



II Un método de arriba abajo para el desarrollo de las políticas operacionales ayudará a asegurar: erivar pol ticas de nivel inferior de las pol ticas corporativas (un m todo segurar consistencia en toda la organización y consistencia con otras políticas.ara el desarrollo de las políticas operativas se deriva como resultado de la evaluació

II Un auditor de SI que revisa una organización que usa prácticas de entrenamiento cruzado debeevaluar el riesgo de:

l entrenamiento cruzado es un proceso de entrenar más de una persona pararocedimiento específico. Esta práctica ayuda a reducir la dependencia de una slaneación de la sucesión. Esto provee el respaldo de personal en el caso de un

II ¿Cuál de los controles siguientes buscaría un auditor en un entorno en el cual las funciones no puedenser segregadas de manera apropiada?

os controles compensatorios son controles internos que pretenden reducir el rontrol existente o potencial que puede surgir cuando las funciones no pueden propiada. Los controles que se superponen son dos controles que tratan el mism

II ¿Cuál de lo siguiente es MAS probable que indique que un depósito de datos de cliente debe permanecer en el local en lugar de ser extraído(outsourced ) de una operación exterior (offshore)?

as leyes de privacidad que prohíben el flujo transfronterizo de información aría imposible ubicar un depósito de datos que contenga información de ciferencias de zona horaria y los costos más elevados de las telecomunicaciones

II Para minimizar los costos y mejorar los niveles de servicio, ¿un outsourcer debe buscar cuál de las

siguientes cláusulas

de

contrato?

Como el outsourcer compartirá un porcentaje de los ahorros logrados, las bonificacompartir las ganancias proveen un incentive financiero para ir para superar losontrato y pueden conducir a ahorros en los costos para el cliente. Las frecuen

II Cuando una organización está seleccionando (outsourcing) su función de seguridad deinformación, ¿cuál de lo siguiente debe ser conservado en la organización?

La responsabilidad no puede ser transferida a terceros ajenos. Las opciones efectuadas por entidades externas mientras la responsabilidad continúe dentro de l

II ¿Cuál de los siguientes reduce el impacto potencial de los ataques de ingeniería social? Como la ingeniería social se basa en el engaño del usuario, la mejor contramed programa de conciencia de la seguridad. Las otras opciones no están enfocadas al

II ¿Cuál de los siguientes provee la mejor evidencia de la adecuación de un programa de conciencia dela seguridad?a adecuación del contenido de conciencia de la seguridad puede evaluarse mejor devisado y comparado periódicamente con las mejores prácticas de la industria. Las edidas para medir diversos aspectos de un programa de conciencia de la seguridad

II ¿Cuál de las metas siguientes esperaría usted encontrar en el plan estratégico de una organización?La planeación estratégica pone en movimiento objetivos corporativos o deparcomprehensiva ayuda a asegurar una organización efectiva y eficiente. La porientada al tiempo y a los proyectos, pero también debe resolver y ayudar a de



II ¿Cuál de las siguientes mejores prácticas de gobierno de TI mejora el alineamiento estratégico? La alta gerencia media entre los imperativos del negocio y la tecnología es una mejoestratégico de TI. Los riesgos del proveedor y del socio que están siendo manejaddel manejo del riesgo. Una base de conocimientos de los clientes, productos,

II ¿Cuál de lo siguiente es la MEJOR fuente de información para que la administración use como unaayuda en la identificación de activos que están sujetos a las leyes y reglamentaciones?

Requisitos contractuales son una de las fuentes que deberían ser consultadequerimientos para la administración de activos de información. Las mejoresroveen una base para evaluar qué grado de competitividad tiene una empr

II ¿Cuál de lo siguiente es MAS probable que indique que un depósito de datos de cliente debe permanecer en el local en lugar de ser extraído(outsourced ) de una operación exterior (offshore)?

Las leyes de privacidad que prohíben el flujo transfronterizo de información iaría imposible ubicar un depósito de datos que contenga información de

diferencias de zona horaria y los costos más elevados de las telecomunicaciones

II ¿Cuál de lo siguiente proveería MEJOR garantía de la integridad del nuevo personal? Una investigación de los antecedentes es el método primario para asegurrospectivo miembro del personal. Las referencias son importantes y sería nece

son tan fiables como la investigación de los antecedentes. La fianza está referencian

II ¿Cuál de lo siguiente proveería un mecanismo por el cual la gerencia de SI puede determinar

cuándo, y

si,

las

actividades

de

la

empresa

se han

desviado

de

los

niveles

planeados,

o

de

losesperados?

Los métodos de análisis proveen un mecanismo, por el cual la gerencia de SI puede dactividades de la organización se han desviado de los niveles planeados o de los esper

incluyen los presupuestos de SI, la planeación de la capacidad y del crecimiento, los / untos de referencia de la industria las rácticas de erencia financiera el lo ro d

II ¿Cuál de los controles siguientes buscaría un auditor en un entorno en el cual las funciones no puedenser segregadas de manera apropiada?

Los controles compensatorios son controles internos que pretenden reducir el ricontrol existente o potencial que puede surgir cuando las funciones no pueden apropiada. Los controles que se superponen son dos controles que tratan el mis

II ¿Cuál de los siguientes consideraría un auditor de SI que es MÁS importante cuando se evalúa laestrategia de una organización? Que:

La planeación estratégica pone en movimiento objetivos corporativos o departamestratégicos a largo plazo como a corto plazo deberían ser consistentes con losorganización y los objetivos del negocio para alcanzar estas metas. La respuesta

II ¿Cuál de

los

siguientes

es

el

MAYOR

riesgo

de

la

definición

de

una

política

inadecuada

para propiedad de datos y de sistemas?

Sin una política que defina quién tiene la responsabilidad de otorgar acceso a sisayor riesgo de que uno pueda obtener (se le pueda dar a uno) acceso al siste

ersona no debería tener autorización. La asignación de autoridad para otorgar acc

II ¿Cuál de los siguientes es el objetivo PRIMARIO de un proceso de medición dedesempeño/performancia de TI?

Un proceso de medición del desempeño/performancia de TI puede usarse pardesempeño/performancia, medir y administrar productosservicios, asegurar la responsabilidad y tomar decisiones de presupuesto. Miniel desem eño/ erformancia ero no es el ob etivo rimario de la administración



II ¿Cuál de los siguientes es MÁS crítico para la implementación exitosa y el mantenimiento de una política de seguridad?

a asimilación de la estructura y la intención de una política de seguridad escrita pistemas es crítico para la implementación exitosa y el mantenimiento de lauede tener un buen sistema de contraseña, pero si los usuarios del sistema n su mesa, el sistema de contraseña tiene oco valor. El so orte dedicación

II ¿Cuál de los siguientes es un mecanismo para mitigar los riesgos? Los riesgos se mitigan implementando prácticas apropiadas de seguridad y de contmecanismo para transferir el riesgo. La auditoría y la certificación son mecanismos

los contratos y SLAs son mecanismos de asignación de riesgo.

II ¿Cuál de los siguientes es un paso inicial para crear una política de firewall? a identificaci n de las aplicaciones requeridas en toda la red debe ser identifdentificación, dependiendo de la ubicación física de estas aplicaciones en la ersona a cargo podrá entender la necesidad y las posibles formas de

II ¿Cuál de los siguientes es una función de un comité de dirección de SI? l comit de direcci n de SI t picamente sirve como una junta general de revisi ne SI y no debe involucrarse en operaciones de rutina, por lo tanto, una de sus funos principales proyectos, la situación de los planes y presupuestos de SI. El contro

II ¿Cuál de los siguientes programas es MÁS probable que una política sana de seguridad de información

incluiría, para manejar las intrusiones sospechosas?

na política sana de seguridad de SI es más probable que esboce un program

as intrusiones sospechosas. Los programas de corrección, detección y monieguridad de información, pero probablemente no serán incluidos en una declarac

II ¿Cuál de los siguientes provee la mejor evidencia de la adecuación de un programa de conciencia de laseguridad?

a adecuación del contenido de conciencia de la seguridad puede evaluarse mejoevisado y comparado periódicamente con las mejores prácticas de la industria. Ledidas para medir diversos aspectos de un programa de conciencia de la segurida

II ¿Cuál de los siguientes reduce el impacto potencial de los ataques de ingeniería social? Como la ingeniería social se basa en el engaño del usuario, la mejor contrame programa de conciencia de la seguridad. Las otras opciones no están enfocadas a

II ¿Cuál de los siguientes sería incluido en la política de seguridad de SI de una organización? La política de seguridad provee la estructura amplia de la seguridad, como ha sidoalta gerencia. Incluye una definición de las personas autorizadas para otorgar accesopciones A, B y C están más detalladas que lo que debería incluirse en una política.

II ¿Cuál de los siguientes sería un control compensatorio para mitigar los riesgos resultantes de unasegregación inadecuada de funciones?

as reconciliaciones de control de lote son un ejemplo de controles compeontroles compensatorios son las bitácoras de transacciones, las pruebas dndependientes y las pistas de auditoría tales como bitácoras de consola, bitácora



II ¿Es apropiado que un auditor de SI de una compañía que está considerando hacer outsourcing de su procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada proveedor?

La responsabilidad primaria del auditor de SI es asegurar que los activos de la compsalvaguardados. Esto es verdad incluso si los activos no residen en las premisas inm prestigiosas de servicio tendrán un plan de continuidad de negocio bien diseñado y

II ¿Qué es lo que un auditor de sistemas consideraría MÁS relevante para la planificación de corto plazo para el departamento de IS?

l departamento de IS debe considerar específicamente la forma en que se asilazo. Las inversiones en TI necesitan estar alineadas con las estrategias princugar de concentrarse en la tecnología por la tecnología en sí misma. Llevar a cabo

II ¿Un auditor de SI debería esperar que cuál de los siguientes elementos sean incluidos en lasolicitud de propuesta (RFP) cuando SI está adquiriendo servicios de un proveedor de serviciosindependiente (ISP)?

l auditor de SI debería buscar una verificación independiente que el ISP puediendo contratadas. Las referencias de otros clientes proveerían una revisión xterna, de procedimientos y procesos que sigue el ISP—aspectos que

II Al revisar el plan de corto plazo (táctico) de SI, el auditor de SI debe determinar si: La integración de SI y del personal de negocios en los proyectos es un aspecto operamientras se revisa el plan de corto plazo. Un plan estratégico proveería un marco paLas opciones B, C y D son áreas cubiertas por un plan estratégico.

II Antes de implementar un cuadro de mandos o marcador balanceado (balanced scorecard) de TI, una

organización debe:

Se requiere una definición de indicadores clave de desempeño antes de implementamarcador balanceado (balanced scorecard) deTI. Las opciones A, C y D son objetivos.

II Como resultado del gobierno de seguridad de información, la alineación estratégica dispone: l gobierno de seguridad de información, cuando está debidamente implemesultados básicos. Estos son alineamiento estratégico, entrega de valor, mesempeño. La alineación estratégica provee datos de entrada (input) para lo

II Con respecto al outsourcing de servicios de TI, ¿cuál de las siguientes condiciones debería ser deMAYOR preocupación para un auditor deSI?

as actividades centrales de una organización generalmente no deberían ser soon lo que la organización hace mejor. Un auditor que observa eso debería preoreocuparse de las otras condiciones porque la especificación de renegociació

II Cuál de lo siguiente es el MEJOR criterio de desempeño para evaluar la adecuación del entrenamientode conocimiento de seguridad de una organización ?

a inclusión en descripciones de puestos de trabajo de responsabilidades de ntrenamiento de seguridad y ayuda a asegurar que el personal y la administraciónunciones con respecto a la seguridad de información. Las otras tres opciones n

II Cuando efectúa una revisión de la estructura de un sistema de transferencia electrónica de fondosEFT), un auditor de SI observa que la infraestructura tecnológica está basada en un esquemaentralizado de procesamiento que ha sido asignado (outsourced) a un proveedor en otro país.

n el proceso de transferencia de fondos, cuando el esquema de procesamientoiferente, podría haber problemas legales de jurisdicción que pudieran afectaevisión en el otro país. Las otras opciones, aunque posibles, no son tan re

ól i l i d i d li ió di l



II Cuando existe preocupación por la segregación de funciones entre el personal de soporte y losusuarios finales, ¿cuál sería un control compensatorio adecuado?

ólo revisar los registros de transacciones y de aplicación directamente resuelveegregación deficiente de funciones. La revisión es un medio de detector el cambién disuade de uso inapropiado, porque las personas que pueden de otroituación están concientes de la robabilidad de ser atra ados. La se re ación in

II Cuando revisa el proceso de planeación estratégica de TI, un auditor de SI debe asegurarse de que el plan:

El plan estratégico de TI debe incluir una clara articulación de la misión y de lnecesita ocuparse de la tecnología, los controles operativos o las prácticas de adm

II Cuando se desarrolla un programa de administración de riesgos, la PRIMERA actividad que se deberealizar es:

a identificación de los activos a ser protegidos es el primer paso en el desdministración de riesgos. Un listado de las amenazas que pueden afectar el denálisis de criticalidad son pasos posteriores en el proceso. La clasificación de da

II Cuando se ha diseñado una política de seguridad de información, lo MÁS importante es que la políticade seguridad de información sea:

ara ser efectiva, una política de seguridad de información debería llegar a todolmacenar la política de seguridad fuera del sitio o en un lugar seguro puede alor si su contenido no es conocido por los empleados de la organización

II Cuando se revisan las estrategias de SI, el auditor de SI puede determinar MEJOR si la estrategia de SIsoporta los objetivos de negocio de las organizaciones determinando si SI:

Determinar si el plan de SI es consistente con la estrategia de la gerencia relaciona l planes del negocio. Las opciones A, C y D

on métodos efectivos para determinar si los planes de SI están en armonía con los o

II Cuando un empleado es despedido de su servicio, la acción MÁS importante es: xiste una probabilidad de que un empleado despedido pueda hacer mal usoor lo tanto, inhabilitar el acceso lógico de un empleado terminado es la acebe emprender. Todo el trabajo del empleado terminado necesita ser entregad

II Cuando una organización está seleccionando (outsourcing) su función de seguridad deinformación, ¿cuál de lo siguiente debe ser conservado en la organización?

La responsabilidad no puede ser transferida a terceros ajenos. Las opcionesefectuadas por entidades externas mientras la responsabilidad continúe dentro d

II Dar responsabilidad

a las

unidades

del

negocio

sobre

el

desarrollo

de

aplicaciones

conducirá

MUY probablemente a:

l desarrollar aplicaciones en las unidades de negocio, los usuarios ahora a carvadir los controles. Las opciones A, C y D no están relacionadas con, ni puede aas funciones de SI a las unidades de negocio; de hecho, en algunos casos, se

II De las funciones siguientes, ¿cuál es la función MÁS importante que debe realizar la administración deTI cuando se ha dado un servicio para realizarse por outsourcing?

En un ambiente de outsourcing, la compañía depende del desempeño del proveedor es crítico que se monitoree el desempeño del proveedor de outsourcing para acompañía los servicios que se requieran. El pago de las facturas es una función



II De lo siguiente, el elemento MÁS importante para la implementación exitosa del gobierno de TI es: El objetivo clave de un programa de gobierno de TI es dar soporte al negocio; didentificación de estrategias organizacionales para asegurar la alineación ecorporativo. Sin identificación de estrategias organizacionales, las opciones

II Desde una perspectiva de control, el elemento clave en las descripciones de trabajos es que:Desde una perspectiva de control, la descripción de un trabajo debe establecer eportar/imputabilidad (accountability). Esto ayudará a asegurar que se dé a los u

conformidad con las responsabilidades definidas de su trabajo.Las otras opcioelacionadas con los controles. Proveer instrucciones sobre cómo hacer el tr

II Durante el curso de una auditoría, un auditor de SI observa que las funciones no estándebidamente segregadas. En una circunstancia semejante, el Auditor de SI debería buscar:

Controles compensatorios son controles que pretenden reducir el riesgo de una deotencial cuando las funciones no pueden ser correctamente segregadas. Los

complementan entre sí y complementan los controles existentes pero no resu

II El cuadro de mandos o marcador balanceado (balanced scorecard) de TI es una herramienta degobierno del negocio que está destinada a monitorear los indicadores de evaluación del desempeño(performance) de TI aparte de:

Los resultados financieros han sido tradicionalmente la única medida general dandos o marcador balanceado de TI (BSC) es una herramienta de gobierno donitorear los indicadores de evaluación del desempeño de TI además de l

II El desarrollo de una política de seguridad de SI es resposabilidad de: A diferencia de otras políticas corporativas, el marco de la política de seguridad d

de la

dirección

general,

la

junta

directiva.

El departamento

de

SI

es

responsabolítica, no teniendo ninguna autoridad en el enmarcado de la política. El c

II El efecto MÁS probable de la falta de participación de la alta gerencia en la planeación estratégica deTI es:

Debe existir un comité de seguimiento para asegurar que las estrategias de Torganización. La ausencia de un comité de tecnología de información o un comgerentes sería una indicación de falta de participación de la alta gerencia. Esta co

II El gobierno de TI es PRIMARIAMENTE responsabilidad del: El gobierno de TI es primariamente responsabilidad de los ejecutivos y de loor la junta directiva [board of directors.]) El director general es instrumental

de TI en conformidad con las instrucciones de la junta directiva. El comité de se

II El gobierno efectivo de TI asegurará que el plan de TI sea consistente con el: Para gobernar TI eficazmente, TI y el negocio deben moverse en la misma direc planes de TI estén alineados con los planes de negocio de una organización. Los inversión no forman parte del plan de TI y el plan de seguridad debe ser al nivel corp

II El objetivo PRIMARIO de una auditoría de las políticas de seguridad de TI es asegurar que:La orientación del negocio debe ser el tema principal al implementar la seguride las políticas de seguridad de TI debe primordialmente concentrarse en si control de TI y relacionadas respaldan los objetivos del negocio y de TI. Rdis onibles ara todos es un ob etivo ero la distribución no ase

ura el cum lim



II El paso inicial para establecer un programa de seguridad de información es: Una declaración de política refleja la intención y el respaldo brindado por la gerencseguridad apropiada y establece un punto de inicio para desarrollar el programa de

II El resultado (output) del proceso de administración de riesgos es un input para hacer: El proceso de administración del riesgo trata sobre la toma de decisiones relacionespecífica, tal como el nivel de riesgo aceptable. Las opciones A, B y D no son las

proceso de administración del riesgo.

II En una organización donde se ha definido una línea base (baseline) de seguridad de TI el auditor de SIdebe PRIMERO asegurar:

El auditor debe primero evaluar la definición del nivel mínimo de línea baidoneidad de los controles. La documentación, la implementación y el cumplimadicionales.

II En una organización, las responsabilidades de seguridad de TI están claramente asignadas yejecutadas y se efectúa de manera consistente un análisis del riesgo de la seguridad de TI y delimpacto. ¿Qué nivel de clasificación representa esto en el modelo de madurez de gobierno de

Las juntas directivas y la gerencia ejecutiva pueden usar el modelo de madurez información para establecer clasificaciones para la seguridad en sus organizaciones.iniciales, repetibles, definidos, manejados y optimizados. Cuando las responsabilid

II Establecer el nivel de riesgo aceptable es responsabilidad de: La alta gerencia debería establecer el nivel de riesgo aceptable, ya que ellos son los rinstancia o los responsables finales de la operación efectiva y eficiente de la organizadeberían actuar como asesores de la alta gerencia para determinar un nivel aceptable

II La administración de una organización ha decidido establecer un programa de conocimiento de laseguridad. ¿Cuál de los siguientes es MÁS probable que sea parte del programa?

Utilizar un sistema de detección de intrusos para reportar sobre los incidimplementación de un programa de seguridad y no es efectivo para establecer ude la seguridad. Las opciones B y C no resuelven el conocimiento. El entrenamiento

II La evaluación de los riesgos de TI se logra MEJOR:Para analizar los riesgos de TI, es necesario evaluar las amenazas y vulnerabilidadeso cuantitativos de evaluación del riesgo. Las opciones B, C y D son potencialmroceso de evaluación del riesgo, pero por sí mismas no son suficientes. Basar unasadas no reflejará de manera adecuada los cambios inevitables a los activos,

al entorno estratégico de la empresa. Probablemente también hay problemas de los datos de pérdida disponibles a ser evaluados. Las organizaciones compa

II La falta de controles adecuados de seguridad representa:La falta de controles adecuados de seguridad representa una vulnerabilidad, exponiesensitivos al riesgo de daños maliciosos, ataque o acceso no autorizado por hackeconsecuencia la pérdida de información sensitiva, que podría conducir a la pér



II La función de establecimiento del libro mayor/mayor general (general ledger) en un paqueteempresarial (ERP) permite fijar períodos contables. El acceso a esta función ha sido permitido a lossuarios en finanzas, almacén e ingreso de órdenes. La razón MÁS probable para dicho amplio

acceso es:

El establecimiento de períodos contables es una de las actividades críticas de la acceso a esta función al personal en el almacén y en el ingreso de órdenes podríaolíticas y procedimientos apropiados para la segregación adecuada de funciones

deberían ser cambiados a intervalos regulares, sino que se deberían establecer

II La participación de la alta gerencia es MÁS importante en el desarrollo de: Los planes estratégicos proveen la base para asegurar que la empresa cumplaarticipación de la alta gerencia es crítica para asegurar que el plan logra de m

objetivos establecidos. Las políticas de SI, procedimientos, normas y lineamiento

II La velocidad de cambio de la tecnología aumenta la importancia de: El cambio requiere que se implementen y ejecuten buenos procesos de adminin outsourcing a la función de SI no está directamente relacionado coecnológico. El personal en un departamento típico de SI está altamente calificad

II La ventaja de un método de abajo hacia arriba para el desarrollo de políticas organizativas es que las políticas:

Un método de abajo hacia arriba comienza por definir los requerimientos y políticderivan y se implementan como el resultado de evaluaciones de riesgo. Las polítdesarrollan posteriormente con base en una síntesis de las políticas operativas existe

II Los objetivos

de

control

de

TI

son

útiles

para

los

auditores

de

SI,

ya

que

ellos

proveen

la

base

paraentender:

Un objetivo de control de TI se define como la declaración del resultado deseado oimplementando procedimientos de control en una actividad particular de TI. erdaderos para implementar controles y pueden o no ser las mejores prácticas.

II Los riesgos asociados con recopilar evidencia electrónica es MÁS probable que se reduzcan, en elcaso de un e-mail, por una:

Con una política de registros de e-mail bien archivados, es posible el acceso a o la rails específicos, sin revelar otros registros de e-mail confidenciales. Las políticas

de auditoría no resolverían la eficiencia de recuperación de registros, y destru

II Mientras realiza una auditoría de un proveedor de servicio, el Auditor de SI observa que el proveedor de servicio ha sometido a outsourcing una parte del trabajo a otro proveedor. Como el trabajo implicael uso de información confidencial, la preocupación PRIMARIA del Auditor de SI debe ser que:

Muchos países han establecido reglamentaciones para proteger la confidencialidaantiene en sus países y/o que es intercambiada con otros países. Donde el proveed

outsourcing una parte de sus servicios a otro proveedor de servicios, hay un

II Muchas organizaciones requieren que todos los empleados toman una vacación obligatoria de unasemana o más para:

Las vacaciones requeridas de una semana o más de duración en la que alguieegular realice la función del puesto de trabajo es a menudo obligatoria para las educe la oportunidad de cometer actos indebidos o ilegales, y durante est



II Para asegurar que una organización está cumpliendo con los requerimientos de privacidad, el auditor de SI debería PRIMERO revisar:

Para asegurar que la organización esté cumpliendo con los aspectos de prdebería tratar primero los requisitos legales y regulatorios. Para cumplir egulatorios, las organizaciones necesitan adoptar la infraestructura apropiada.

La arquitectura de empresa (EA) implica documentar los activos y procesos de T



II Para asistir a una organización en la planeación de las inversiones de TI, el Auditor de SI deberíarecomendar el uso de:

La arquitectura de empresa (EA) implica documentar los activos y procesos de Torma estructurada para facilitar la comprensión, administrar y planear las inveranto un estado corriente como una representación de un futuro estado optimi

II Para ayudar a la administración a alcanzar la alineación entre TI y el negocio, un auditor de SI deberíarecomendar el uso de:

Un scorecard balanceado de TI provee el puente entre los objetivos de TI suplementando la evaluación financiera tradicional con medidas para evaluar larocesos internos y la capacidad de innovar. La autoevaluación del control, el

II Para lograr entender la efectividad de la planeación y la administración de inversiones en activos de TIde una organización, un auditor de SIdebería revisar:

The scorecard balanceado de TI es una herramienta que provee el puente entre los odel negocio complementando la evaluación financiera tradicional con medidas pacliente, los procesos internos y la capacidad de innovar. Un modelo de datos de edefine la estructura de datos de una organización y la forma en que se interrelaciona

II Para minimizar los costos y mejorar los niveles de servicio, ¿un outsourcer debe buscar cuál de lassiguientes cláusulas de contrato?

Como el outsourcer compartirá un porcentaje de los ahorros logrados, las bonificacompartir las ganancias proveen un incentive financiero para ir para superar locontrato y pueden conducir a ahorros en los costos para el cliente. Las frecuen

II Para resolver

el

riesgo

de

falta

del

personal

de

operaciones

para

efectuar

la

copia

de

respaldodiaria, la administración requiere que el administrador de sistemas firme la salida en la copia de

respaldo diaria. Este es un ejemplo de riesgo:

Mitigaci n es la estrategia que dispone la definici n e implementaci n de losiesgo descrito. Prevención es una estrategia que dispone no implementar ciertas

incurrirían en mayor riesgo. Transferencia es la estrategia que dispone comp

II Para soportar las metas de una organización, el departamento de SI debe tener: Para asegurar su contribución a la realización de las metas generales de una organizdebe tener planes de largo y corto plazo que sean consistentes con los planes másara alcanzar sus metas. Las opciones A y C son objetivos, y se necesitarían p

II Un administrador de base de datos está realizando las siguientes actividades, ¿cuál de éstas debería ser realizada por una persona diferente?

Como los registros de actividad de la base de datos registran actividades reade la base de datos, su eliminación debería ser efectuada por una persona qula base de datos. Este es un control compensatorio para ayudar a asegurar que u

II Un administrador de LAN estaría normalmente restringido de: Un administrador de LAN no debería tener responsabilidades de prograesponsabilidades de usuario final. El administrador de LAN puede reportarse al




II Un auditor de SI debería preocuparse cuando un analista de telecomunicación: Las responsabilidades de un analista de telecomunicaciones incluyen requerimientérminos de volúmenes corrientes y futuros de transacciones (opción B), evaluar o los tiempos de respuesta de las terminales y las velocidades de transferencia de dat

Un auditor de SI encuentra que no todos los empleados tienen conocimiento de la política de Todos los empleados deben tener conocimiento de la política de seguridad de



II Un auditor de SI encuentra que no todos los empleados tienen conocimiento de la política deseguridad de información de la empresa. El auditor de SI debe concluir que:

Todos los empleados deben tener conocimiento de la política de seguridad de evelación no intencional de información sensitiva. La capacitación es un control

de concientización de la seguridad para los empleados puede prevenir la rev

II Un auditor de SI fue contratado para revisar la seguridad de un negocio electrónico (e- business). La primera tarea del auditor de SI fue examinar cada aplicación existente de e-businessen busca de vulnerabilidades. ¿Cuál sería la siguiente tarea?

El auditor de SI debe identificar los activos, buscar vulnerabilidades, y luego robabilidad de que ocurran. Las opciones A, B y D deberían ser discutidas con

Information Officer-CIO) y se debería entregar un reporte al director general (Ch

II Un auditor de SI que realiza una revisión de los controles generales de las prácticas de gerenciade SI relativas al personal debería prestar particular atención a:

Cuando se realiza una revisión de los controles generales es importante que un auema de la segregación de funciones, que está afectada por prácticas de vacacionescumplimiento de vacaciones obligatorias puede variar dependiendo del p

II Un auditor de SI que revisa el plan estratégico de TI de una organización debería PRIMERO revisar: El plan estratégico de TI existe para respaldar el plan de negocios de la organizestratégico de TI, el auditor de SI necesitaría primero familiarizarse con el plan d

II Un auditor de SI que revisa un contrato de outsourcing de las instalaciones de TI esperaría que éstedefina:

De las opciones, el hardware y el control de acceso de software generalmenteuncionalidad, disponibilidad y seguridad puedan ser afectadas, lo cual sería

específica. De manera similar, la metodología de desarrollo no debería de real pre

II Un auditor de SI que revisa una organización que usa prácticas de entrenamiento cruzado debe evaluar el riesgo de:

El entrenamiento cruzado es un proceso de entrenar más de una persona parrocedimiento específico. Esta práctica ayuda a reducir la dependencia de unalaneación de la sucesión. Esto provee el respaldo de personal en el caso de u

II Un auditor ha sido asignado para revisar las estructuras de TI y las actividades recientementeseleccionadas (outsourced) para diversos proveedores. ¿Cuál de lo siguiente debería el Auditor de SIdeterminar PRIMERO?

La complejidad de las estructuras de TI igualada por la complejidad y entrejugarantías puede afectar o invalidar la efectividad de esas garantías y la certeza razodel negocio serán cubiertas. Todas las otras opciones son importantes, pero no t

II Un comité de dirección de SI debe: Es importante llevar las actas detalladas de los comités de dirección para docu

actividades del

comité

de

dirección

de

SI,

y

la

junta directiva

debe

ser

informadaopción A es incorrecta porque sólo la gerencia principal o los niveles alt

II Un comité de seguimiento de TI revisaría los sistemas de información PRIMARIAMENTE paradeterminar:

La función de un comité de seguimiento de TI es asegurar que el departamento disión y los objetivos de la organización. Para asegurar esto, el comité debe dete

TI soportan los requerimientos del negocio. Analizar la funcionalidad adicional

II Un ejemplo de un beneficio directo a derivarse de una propuesta inversión de negocio relacionada conUn caso comprensivo de negocio para cualquier inversión de negocio propuesta rela



II Un ejemplo de un beneficio directo a derivarse de una propuesta inversión de negocio relacionada conTI es:

p g p q g p pener beneficios de negocio claramente definidos para permitir el cálculo de los beneflo general caen en dos categorías: directos e indirectos o suaves. Los beneficios direc

II Un empleado de SI de largo plazo que cuenta con un antecedente t cnico fuerte y con ampliaexperiencia gerencial ha aplicado para una posición vacante en el departamento de auditoría deSI. La determinación de si se debe contratar a esta persona para esta posición debería basarse en

La independencia debería ser constantemente evaluada por el auditor y la gerenconsiderar factores tales como las relaciones personales, los intereses financieroesponsabilidades del puesto de trabajo. El hecho que el empleado haya trabajad

II Un equipo que lleva a cabo un análisis de riesgo está teniendo dificultad para proyectar las pérdidasfinancieras que podrían resultar de riesgo. Para evaluar las pérdidas potenciales el equipo debería:

La práctica común, cuando es difícil calcular las pérdidas financieras, es tomar uque el gerente afectado por el riesgo define la pérdida financiera en términos de unn impacto muy bajo para el negocio y 5 es un impacto muy alto). Un ROI es comp

ingresos predecibles, que pueden ser comparados con la inversión que se necesita

II Un gobierno efectivo de TI requiere estructuras y procesos organizacionales para asegurar que: Un gobierno efectivo de TI requiere que la junta y la gerencia ejecutiva extirovean el liderazgo, las estructuras y procesos organizacionales que aseguren

sostiene y extiende las estrategias y objetivos de la organización y que la estrateg

IIUn método de arriba abajo para el desarrollo de las políticas operacionales ayudará a asegurar: Derivar políticas de nivel inferior de las políticas corporativas (un método

asegurar consistencia en toda la organización y consistencia con otras políticasara el desarrollo de las políticas operativas se deriva como resultado de la evaluació

II Una opción deficiente de contraseñas y transmisión a través de líneas de comunicación no protegidasson ejemplos de:

Las vulnerabilidades representan características de recursos de información quena amenaza. Las amenazas son circunstancias o eventos con el potencial de cau

información, las probabilidades representan la probabilidad de que ocurra u

II Una organización ha hecho un outsourcing de su desarrollo de software. ¿Cuál de los siguientes esresponsabilidad de la gerencia de TI de la organización?

Administrar/Gestionar activamente el cumplimiento de los términos del coexternalizados (outsourced) es responsabilidad de la gerencia de TI. El pesponsabilidad de finanzas. La negociación del acuerdo contractual ya habría o

II Una organización que adquirió otros negocios continúa utilizando sus sistemas heredados de EDI, yusa tres proveedores separados de red de valor agregado (VAN). No existe ningún acuerdo escrito para la VAN. El auditor de SI debe recomendar a la gerencia que:

Los acuerdos escritos asistir an a la gerencia a asegurar el cumplimiento de lMientras que la gerencia debe obtener garantía independiente de cumplimiento, eque exista un contrato. Un aspecto de administrar servicios de terceros es prove



II Una política exhaustiva y efectiva de correo electrónico debería resolver los problemas deestructura de correo electrónico, ejecución de políticas, monitoreo y:

demás de ser una buena práctica, las leyes y regulaciones pueden requerir qnformación que tenga un impacto en los estados financieros. La prevalencia omunicación de correo electrónico es mantenida en el mismo sentido que eldquo;documento” hace de la retención de correspondencia electrónica

lectrónico generado en el hardware de una organización es propiedad de la oorreo electrónico debe resolver la retención de mensajes considerando tanto



orreo electrónico debe resolver la retención de mensajes, considerando tanto mpredecibles. La política debería también ocuparse de la destrucción de correoiempo especificado para proteger la naturaleza y la confidencialidad de los mensaje

II Una probable ventaja para una organización que ha efectuado outsourcing a su procesamiento deservicios de datos es que:

Outsourcing es un acuerdo contractual por el cual la organización entrega el contrtotalidad del procesamiento de información a una parte externa. Esto se hace con fre

o experiencia

adicionales

que

no

se

obtiene

desde

el

interior

de

la

organización.

II La falta de controles adecuados de seguridad representa:La falta de controles adecuados de seguridad representa una vulnerabilidad, exponisensitivos al riesgo de daños maliciosos, ataque o acceso no autorizado por hackconsecuencia la pérdida de información sensitiva, que podría conducir a la pé(goodwill ) para la organización. Una definición suscinta del riesgo es suministraGerencia de Seguridad de TI publicadas por la Organización Internacional paque define el riesgo como el "potencial de que una cierta amenaza se aprovun activo o de un grupo de activos para causar pérdida o daño a los activos."definición son vulnerabilidad, amenaza, activo e impacto. La falta de una funcionaleste contexto es una vulnerabilidad.

76997655 Preguntas Modulo I y II

Documents

Transcript of 76997655 Preguntas Modulo I y II