I Despus de la investigacin inicial, un auditor de SI
tiene motivos para creer que puede estar en presencia de fraude. El auditor de SI debe: Las responsabilidades de un auditor de SI de detectar el fraude incluye evaluar los indicadores de fraude y decidir si es necesaria alguna accin adicional o si se debe recomendar una investigacin. El auditor de SI debe notificar a las autoridades apropiadas dentro de la organiacin solamente si !a determinado que los indicadores de fraude son suficientes para recomendar una investigacin. "ormalmente, el auditor de SI no tiene autoridad para consultar con un asesor legal e#terno. I La venta$a %&I'(&I( de un enfoque continuo de auditor)a es que: El uso de tcnicas continuas de auditor)a puede en realidad me$orar la seguridad del sistema cuando se usa en entornos que comparten el tiempo que procesan un gran n*mero de transacciones, pero de$an muy pocas pistas de papel. La opcin ( es incorrecta ya que el enfoque de auditor)a continua a menudo requiere que un auditor de SI recolecte evidencia sobre la confiabilidad del sistema mientras est+ llevando a cabo el procesamiento. La opcin , es incorrecta ya que un auditor de SI normalmente revisar)a y dar)a seguimiento slo a las deficiencias materiales o errores detectados. La opcin D es incorrecta ya que el uso de tcnicas de auditor)a continua depende efectivamente de la comple$idad de los sistemas de computadora de una organiacin. I -.u+l de las opciones siguientes es la tcnica de auditor)a '/S efectiva para identificar violaciones a la segregacin de funciones en una nueva implementacin de un sistema de planificacin de recursos de empresa 0E&%12 Debido a que el ob$etivo es identificar violaciones a la segregacin de funciones, es necesario definir la lgica que identificar+ los conflictos en la autoriacin. Se podr)a desarrollar un programa para identificar estos conflictos. 3n informe de derec!os de seguridad en el sistema de planificacin de los recursos de la empresa 0E&%1 ser)a voluminoso y requerir)a muc!o tiempo para su revisin4 por lo tanto, esta tcnica no es tan efectiva como la creacin de un programa. ( medida que las comple$idades aumentan, se vuelve m+s dif)cil verificar la efectividad de los sistemas, y la comple$idad no est+ vinculada por s) sola a la segregacin de funciones. Es buena pr+ctica revisar los casos recientes de violacin de derec!os4 sin embargo, pudiera requerir una cantidad de tiempo significativa el verdaderamente identificar cu+les violaciones resultaron realmente de una segregacin inapropiada de funciones. I El estatuto de auditor)a de SI de una organiacin deber)a especificar: El estatuto de auditor)a de SI establece el rol de la funcin de auditor)a de sistemas de informacin. El estatuto deber)a describir la autoridad general, el alcance y las responsabilidades de la funcin de auditor)a. Deber)a ser aprobado por el m+s alto nivel de gestin y, de estar disponible, por el comit de auditor)a. La planificacin de corto y largo plao es responsabilidad de la gestin de auditor)a. Los ob$etivos y el alcance de cada auditor)a de SI deber)an acordarse en una carta de compromiso. La gestin de auditor)a deber)a desarrollar un plan de entrenamiento, basado en el plan de auditor)a. I 3n auditor de SI est+ realiando una auditor)a a un servidor de copias de respaldo administrado desde una ubicacin remota. El auditor de SI revisa los logs de un d)a y descubre un caso en el cual el inicio de sesin en un servidor fall con el resultado de que no se pudo confirmar los reinicios de la copia de respaldo. -5u deber)a !acer el auditor2 Los est+ndares de auditor)a requieren que un auditor de SI recopile evidencia de auditor)a suficiente y apropiada. El auditor descubri un problema potencial y a!ora necesita determinar si se trata de un incidente aislado o una falla sistem+tica de control. En este punto es demasiado pronto para emitir un !allago de auditor)a4 la accin de solicitar una e#plicacin a la gerencia es aconse$able, pero ser)a me$or recopilar evidencia adicional para evaluar apropiadamente la seriedad de la situacin. 3na falla de respaldo, que no se !a establecido en este punto, es seria si involucra datos cr)ticos. Sin embargo, el asunto no es la importancia de los datos presentes en el servidor donde se detect un problema, sino la posibilidad de que e#ista una falla sistem+tica de control que tenga un impacto en otros servidores. I 3n .ontrato de auditor)a deber)a: 3n contrato de auditor)a deber)a establecer los ob$etivos de la gerencia para, y la delegacin de autoridad a la auditor)a de SI. Este contrato no deber)a cambiar de manera significativa con l tiempo y deber)a ser aprobado al nivel m+s alto de la gerencia. El contrato de auditor)a no estar)a a un nivel de detalle y por lo tanto no incluir)a ob$etivos o procedimientos espec)ficos de auditor)a. I 3n auditor de SI revisa un organigrama %&I'(&I('E"6E para: 3n organigrama provee informacin sobre las responsabilidades y la autoridad de personas en la organiacin. Esto ayuda al auditor de SI a saber si !ay una segregacin apropiada de funciones. 3n diagrama de flu$o de traba$o proporcionar)a informacin sobre las funciones de diferentes empleados. 3n diagrama de red proveer+ informacin sobre el uso de diversos canales de comunicacin e indicar+ la cone#in de los usuarios a la red. I En una auditor)a de SI de varios servidores cr)ticos, el auditor quiere analiar las pistas de auditor)a para descubrir potenciales anomal)as en el comportamiento de usuarios o del sistema. -.u+l de las !erramientas siguientes es la '/S adecuada para realiar esa tarea2 Las !erramientas de deteccin de tendencias 7varianas buscan anomal)as en el comportamiento de usuarios o del sistema, por e$emplo, determinando para los documentos prenumerados si los n*meros son secuenciales o incrementales. Las !erramientas .(SE se usan para asistir en el desarrollo de soft8are. El soft8are integrado de recoleccin de datos 0auditor)a1 se usa para tomar muestras y para proveer estad)sticas de produccin. Las !erramientas !eur)sticas de escaneo se pueden usar para escanear en busca de virus para indicar cdigos posiblemente infectados. I 3n auditor de SI emite un reporte de auditor)a se9alando la falta de funciones de proteccin de fire8all en el gate8ay perimetral de red y recomienda un producto de vendedor para resolver esta vulnerabilidad. El auditor de SI no !a e$ercido: .uando un auditor de SI recomienda un vendedor espec)fico, ellos comprometen la independencia profesional. La independencia organiacional no tiene relevancia con respecto al contenido de un reporte de auditor)a y debe ser considerado en el momento de aceptar el I 3n auditor de SI que realia una revisin de los controles de aplicacin evaluar)a: 3n control de revisin de aplicaciones implica la evaluacin de los controles automatiados de la aplicacin y una evaluacin de cualesquiera e#posiciones resultantes de las debilidades del control. Las otras opciones pueden ser ob$etivos de una auditor)a de I 'ientras se planifica una auditor)a, se debe !acer una evaluacin del riesgo para proveer: El Lineamiento de (uditor)a de SI :;< de IS(.( sobre planificar los estados de auditor)a de SI, =Se debe !acer una evaluacin del riesgo para proveer aseguramiento raonable de que los puntos materiales ser+n cubiertos de manera adecuada durante el traba$o de auditor)a. Esta I 3n auditor de SI debe usar muestreo estad)stico, y no muestreo de opiniones 0no estad)stico1 cuando: Dada una tasa esperada de error y nivel de confiana, el muestreo estad)stico es un mtodo ob$etivo de muestreo, que ayuda a un auditor de SI a determinar el tama9o de la muestra y a cuantificar la probabilidad de error 0coeficiente de confiana1. La opcin , es I 3n auditor de SI !a importado datos de la base de datos del cliente. El paso siguiente para confirmar si los datos importados est+n completos se lleva a cabo: .omparar los totales de control de los datos importados con los totales de control de los datos originales es el siguiente paso lgico, ya que esto confirma la integridad de los datos importados. "o es posible confirmar la totalidad 0completeness1 clasificando los datos importados, porque los I 'ientras lleva a cabo una auditor)a, un auditor de SI detecta la presencia de un virus. -.u+l debe ser el paso siguiente del auditor de SI2 La primera cosa que un auditor de SI debe !acer despus de detectar el virus es alertar a la organiacin sobre su presencia, luego esperar su respuesta. La opcin ( debe ser emprendida despus de la opcin .. Esto permitir+ al auditor de SI e#aminar el funcionamiento real y la I Durante la recoleccin de evidencia forense, -cu+l de las acciones siguientes tiene '/S posibilidades de causar la destruccin o corrupcin de evidencia en un sistema comprometido2 &einiciar el sistema puede causar un cambio en el estado del sistema y la prdida de arc!ivos y evidencia importante almacenados en la memoria. Las otras opciones son acciones apropiadas para preservar la evidencia. I -.u+l de las opciones siguientes es el beneficio clave de la autoevaluacin de control 0.S(12 El ob$etivo de la autoevaluacin de control es inducir a la gerencia del negocio a estar m+s consciente de la importancia del control interno y de su responsabilidad en trminos del gobierno corporativo. La reduccin de los gastos de auditor)a no es un beneficio clave de I -.u+l de las siguientes formas de evidencia para el auditor se considerar)a la '/S confiable2 La evidencia obtenida de fuentes e#ternas es por lo general m+s confiable que la obtenida desde dentro de la organiacin. Las cartas de confirmacin recibidas desde el e#terior, como por e$emplo las usadas para verificar los balances de cuentas por cobrar, son por lo general I Los diagramas de flu$o de datos son usados por los (uditores de SI para: Los diagramas de flu$o de datos se usan como ayudas para graficar o diagramar el flu$o y almacenamiento de datos, con ellos se rastrean los datos desde su origen !asta su destino, resaltando las rutas y el almacenamiento de los datos. Los diagramas de flu$o no ordenan los datos en ning*n orden $er+rquico. El flu$o de los datos no coincidir+ necesariamente con ning*n orden $er+rquico o de generacin de datos. I En una auditor)a de una aplicacin de inventario , -qu enfoque proveer)a la 'E>?& evidencia de que las rdenes de compra son v+lidas2 %ara determinar la valide de una orden de compra, probar los controles de acceso proveer+ la me$or evidencia. Las opciones , y . se basan en enfoques posteriores a los !ec!os, mientras que la opcin D no sirve el propsito porque lo que est+ en la documentacin de sistema puede no ser lo mismo que lo que est+ ocurriendo. I -.u+l de los siguientes mtodos de muestreo es el '/S *til cuando se pone a prueba su cumplimiento2 El muestreo de atributos es el mtodo primario de muestreo que se usa para comprobar el cumplimiento. El muestreo de atributos es un modelo de muestreo que se usa para estimar la tasa de ocurrencia de una calidad especifica 0atributo1 en una poblacin y se usa en la comprobacin de cumplimiento para confirmar si esta calidad e#iste o no. Las otras elecciones se usan en comprobaciones substantivas que involucran la comprobacin de detalles o cantidad. I -5u tcnica de auditor)a provee la 'E>?& evidencia de la segregacin de funciones en un departamento de SI2 ?bservando el personal de SI cuando realia sus tareas, el auditor de SI puede identificar si ellos est+n realiando operaciones no compatibles y entrevistando el personal de SI el auditor puede obtener un panorama general de las tareas realiadas. ,asado en las observaciones y entrevistas, el auditor puede evaluar la segregacin de funciones. La gerencia no puede estar en conocimiento de las funciones detalladas de cada empleado en el departamento de SI, por lo tanto, la discusin con la gerencia proveer)a solo informacin limitada respecto a la segregacin de funciones. 3n organigrama no proveer)a detalles de las funciones de los empleados y la prueba de los derec!os de usuario proveer)a informacin sobre los derec!os que ellos tienen dentro de los sistemas de SI, pero no I -Las decisiones y las acciones de un auditor es '/S probable que afecten a cu+l de los riesgos siguientes2 3n riesgo de deteccin est+ directamente afectado por la seleccin, por parte del auditor, de los procedimientos y tcnicas de auditor)a. Los riesgos in!erentes por lo general no est+n afectados por el auditor de SI. 3n riesgo de control es controlado por las acciones de la gerencia de la compa9)a. Los riesgos financieros no est+n afectados por el auditor de SI. I 3na accin correctiva !a sido tomada por un auditado inmediatamente despus de la identificacin de un !allago que deber)a ser reportado. El auditor debe: Incluir el !allago en el reporte final es una pr+ctica de auditor)a generalmente aceptada. Si se emprende una accin despus de que comen la auditor)a y antes de que terminara, el reporte de auditor)a debe identificar el !allago y describir la accin correctiva tomada. 3n reporte de auditor)a debe refle$ar la situacin, tal como sta e#ist)a en el comieno de la auditor)a. 6odas las acciones correctivas emprendidas por el auditado deben ser reportadas por escrito. I Durante una auditor)a de control de cambios de un sistema en produccin, un auditor de SI descubre que el proceso de administracin de cambios no est+ documentado formalmente y 3n proceso de gestin de cambios es cr)tico para los sistemas de produccin de 6I.(ntes de recomendar que la organiacin tome alguna otra accin 0por e$emplo, interrumpir las migraciones, redise9ar el proceso de gestin de cambios1, el auditor de SI deber)a obtener garant)a de que los incidentes reportados se relacionan con deficiencias en el proceso de gestin de cambios y que no fueron causados por alg*n proceso diferente a la gestin de cambios. I -.u+l de las siguientes opciones ser)a normalmente la evidencia '/S confiable para un auditor2 La evidencia obtenida de terceros independientes casi siempre es considerada la m+s confiable. Las respuestas ,, . y D no serian consideradas confiables. I El propsito %&I'(&I? de una auditor)a forense de 6I es: La opcin , describe una auditor)a forense. La evidencia recolectada podr)a utiliarse posteriormente en procesos $udiciales. Las auditor)as forenses no se limitan a fraude corporativo. Evaluar la e#actitus de los estados financieros de una organiacin no es el propsito de una auditor)a forense. Llegar a la conclusin de que se registr un delito ser)a parte de un proceso legal y no el ob$etivo de una auditor)a forense. I 3n auditor de SI est+ evaluando una red corporativa en busca de una posible penetracin por parte de empleados internos. -.u+l de los !allagos siguientes deber)a preocupar '/S al auditor de SI2 El aprovec!amiento de un ID y contrase9a de usuario conocidos requiere m)nimos conocimientos tcnicos y e#pone los recursos de la red a la e#plotacin 0maliciosa 1. La barrera tcnica es ba$a y el impacto puede ser muy elevado4 por lo tanto, el !ec!o de que muc!os IDs de usuario tengan contrase9as idnticas representa la mayor amenaa. Los mdems e#ternos representan un riesgo de seguridad, pero la e#plotacin o aprovec!amiento a*n depende del uso de una cuenta v+lida de usuario. 'ientras que el impacto de los I 3n auditor de SI que particip en el dise9o del plan de continuidad del negocio 0,.%1 de una empresa, !a sido asignado para auditar el plan. El auditor de SI deber)a: .omunicar la posibilidad de conflicto de inters a la gerencia antes de comenar la asignacin es la respuesta correcta. Se deber)a comunicar un posible conflicto de inters, que pudiera afectar la independencia del auditor, a la gerencia antes de comenar la asignacin. &ec!aar la asignacin no es la respuesta correcta, porque se podr)a aceptar la asignacin despus de obtener la aprobacin de la gerencia. Informar a la gerencia sobre el posible conflicto de inters despus de completar la I 'ientras revisaba los papeles de traba$o electrnico sensitivos, el auditor de SI not que los mismos no estaban encriptados. Esto podr)a comprometer: La encripcin prueba la confidencialidad de los papeles de traba$o electrnicos. Las pistas de auditor)a, las aprobaciones de la etapa de auditor)a y el acceso a los papeles de traba$o, por s) mismos, no afectan la confidencialidad sino que forman parte del motivo para requerir la encripcin. I La ran %&I'(&I( por la que un auditor de SI realia un recorrido funcional durante la fase preliminar de una asignacin de auditor)a es: Entender el proceso de negocio es el primer paso que un auditor de SI necesita realiar. Las normas no requieren que un auditor de SI efect*e un recorrido de proceso. Identificar las debilidades de control no es la ran primaria para el recorrido y t)picamente ocurre en una etapa posterior en la auditor)a. %lanear pruebas sustantivas se realia en una etapa posterior de la auditor)a. I (l planear una auditor)a, el paso '/S cr)tico es la identificacin de: .uando se dise9a un plan de auditor)a, es importante identificar las +reas de m+s alto riesgo para determinar las +reas a ser auditadas. Los con$untos de !abilidades del personal de auditor)a deber)an !aberse considerado antes de decidir y de escoger la auditor)a. Los pasos de prueba para la auditor)a no son tan cr)ticos como identificar las +reas de riesgo, y el tiempo asignado para una auditor)a est+ determinado por las +reas a ser auditadas, las cuales son primariamente I -.u+l de los siguientes es una venta$a de una prueba integrada 0I6@12 3na prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prueba simult+neamente con la entrada en vivo. Su venta$a es que las pruebas peridicas no requieren procesos separados de prueba. Sin embargo, es necesaria una planeacin cuidadosa y los datos de prueba deben ser aislados de los datos de produccin. I 3n auditor de SI eval*a los resultados de prueba de una modificacin a un sistema que trata con cmputo de pagos. El auditor encuentra que el <AB de los c+lculos no coinciden con los totales predeterminados. -.u+l de los siguientes es '/S probable que sea el siguiente paso en la auditor)a2 El auditor de SI deber)a luego e#aminar casos donde ocurrieron c+lculos incorrectos y confirmar los resultados. Despus de que los c+lculos !ayan sido confirmados, m+s pruebas pueden ser llevadas a cabo y revisadas. La preparacin de reportes, !allagos y recomendaciones no se !ar)a !asta que todos los resultados fueran confirmados. I Durante una entrevista final, en los casos en que !ay desacuerdo con respecto al impacto de un !allago, un auditor de SI debe: Si el auditado esta en desacuerdo en cuanto al impacto de un !allago, es importante que el auditor de SI elabor, clarifique y de a conocer los riesgos que el auditado no !a valorado y la magnitud de su e#posicin. El ob$etivo deberia ser mostrar al auditado o descubrir nueva informacin que el auditor de SI no !aya contemplado. .ualquier cosa que pareca una amenaa para el auditado reducir+ la efectividad de la comunicacin y establece una relacin controvetida. %or el I La decisin final de incluir un !allago material en un informe de auditor)a debe ser tomada por el: El auditor de SI debe tomar la decisin final respecto a qu incluir o e#cluir del informe de auditor)a. Las otras opciones limitar)an la independencia del auditor. I ( pesar de que la gerencia !a dic!o otra cosa, un auditor de SI tiene motivos para creer que la organiacin est+ usando soft8are que no tiene licencia. En esta situacin, el auditor de SI debe: .uando !ay una indicacin de que una organiacin podr)a estar usando soft8are sin licencia, el auditor de SI debe obtener evidencias suficientes antes de incluirlo en el informe. .on respecto a este asunto, las manifestaciones obtenidas de la gerencia no pueden ser verificadas de manera independiente. Si la organiacin est+ usando soft8are que no tiene licencia, el auditor, para mantener ob$etividad e independencia, I -.u+l de las siguientes tcnicas de auditor)a en l)nea es '/S efectiva para la deteccin temprana de errores o irregularidades2 La tcnica de ganc!o de auditor)a implica integrar el cdigo en los sistemas de aplicacin para el e#amen de las transacciones seleccionadas. Esto ayuda a un auditor de SI a actuar antes de que un error o una irregularidad se salgan de control. 3n mdulo integrado de auditor)a implica integrar soft8are escrito especialmente en el sistema anfitrin de aplicacin de la organiacinl de modo que los sistemas de I El vicepresidente de recursos !umanos !a solicitado una auditor)a para identificar los sobrepagos de planilla7nmina para el a9o anterior. -.u+l ser)a la 'E>?& tcnica de auditor)a para usar en esta situacin2 Las caracter)sticas del soft8are generaliado de auditor)a incluyen cmputos matem+ticos, estratificacin, an+lisis estad)stico, verificacin de secuencia, verificacin de duplicados y rec+lculos. El auditor de SI, usando soft8are generaliado de auditor)a, podr)a dise9ar pruebas apropiadas para recalcular la planilla7nmina y, de ese modo, determinar si !ubo sobrepagos, y a quines fueron efectuados. Los I El #ito de la autoevaluacin de control 0.S(1 depende grandemente de: El ob$etivo primario de un programa de autoevaluacin de control 0.S(1 es apalancar la funcin de auditor)a interna cambiando algunas de las responsabilidad de monitoreo de control a los gerentes de l)nea de +rea funcional. El #ito de un programa de .S( depende del grado al que los gerentes de l)nea asumen responsabilidad de los controles. Las opciones ,, . y D son caracter)sticas de un enfoque tradicional de I -.u+l de los siguientes es un beneficio de un mtodo de planeacin de auditor)a basado en el riesgo2 El mtodo basado en el riesgo est+ dise9ado para asegurar que el tiempo de auditor)a sea empleado en las +reas de mayor riesgo. El desarrollo de un cronograma de auditor)a no est+ dirigido por un mtodo basado en el riesgo. Los cronogramas de auditor)a pueden ser preparados con meses de anticipacin usando diversos mtodos de cronograma. 3n mtodo de riesgo no tiene una correlacin directa con que el personal de I Durante la etapa de planificacin de una auditor)a de SI, la meta %&I'(&I( de un auditor de SI es: Las normas de auditor)a de IS(.( requieren que un auditor de SI planee el traba$o de auditor)a para resolver los ob$etivos de auditor)a. La opcin , es incorrecta porque el auditor no recoge evidencia en la etapa de planificacin de una auditor)a. Las opciones . y D son incorrectas porque no son las metas primarias de la planificacin de auditor)a. Las actividades descritas en las opciones ,, . y D son todas I 3n beneficio %&I'(&I? para una organiacin que emplea tcnicas de auto evaluacin de controles 0control selfCassessmentC.S(1, es que ella: La .S( se predica sobre la revisin de las +reas de alto riesgo que o bien necesitan atencin inmediata o una revisin m+s e#!austiva en una fec!a posterior. La respuesta , es incorrecta porque la .S( requiere la participacin de tanto los auditores como la gerencia de l)nea. Lo que ocurre es que la funcin de auditor)a interna pasa algunas de las responsabilidades de monitoreo de control a las +reas funcionales. La I .uando selecciona los procedimientos de auditor)a, un auditor de SI debe usar su $uicio profesional para asegurar que: Los procedimientos son procesos que un auditor de SI puede seguir en un compromiso de auditor)a. %ara determinar si cualquier procedimiento espec)fico es apropiado, un auditor de SI debe usar un $uicio profesional apropiado a las circunstancias espec)ficas. El $uicio profesional implica una evaluacin sub$etiva y a menudo cualitativa de las condiciones que surgen en el curso de una auditor)a. El $uicio se I -.u+l de los siguientes es un atributo del mtodo de autoevaluacin de control 0.S(12 El mtodo de autoevaluacin de control 0.S(1 !ace nfasis en la administracin y en la obligacin de rendir cuentas de desarrollar y monitorear los controles de los procesos de negocio de una organiacin. Los atributos de .S( incluyen: empleados facultados, me$oramiento continuo, e#tensa participacin y entrenamiento de los empleados, todo lo cual son manifestaciones de amplia participacin de los I 3n auditor de SI est+ revisando el acceso a una aplicacin para determinar si los ;A formularios =nuevo usuario= m+s recientes fueron correctamente autoriados. Este es un e$emplo de: La prueba de cumplimiento determina si los controles se est+n aplicando de acuerdo con las pol)ticas. Esto incluye pruebas para determinar si las nuevas cuentas fueron debidamente autoriadas. El muestreo de variables se usa para estimar los valores numricos, tales como valores de dlar. La prueba sustantiva sustancia la integridad del procesamiento real, como por e$emplo los saldos de los estados I -.u+l de las siguientes ser)a la 'E>?& poblacin de la cual tomar una muestra cuando un programa en pruebas cambia2 La me$or fuente de la cual e#traer cualquier e$emplo o prueba de un sistema de informacin es el sistema automatiado. Las bibliotecas de produccin representan e$ecutables que est+n aprobados y autoriados para procesar los datos de la organiacin. Los listados de programa fuente serian intensivos en el tiempo. Las solicitudes de cambio de programa son los documentos usados para iniciar el cambio. "o !ay I Durante una revisin de implementacin de una aplicacin distribuida multiusuario, el auditor de SI encuentra debilidades menores en tres +reasCLa disposicin inicial de par+metros est+ instalada incorrectamente, se est+n usando contrase9as dbiles y algunos reportes vitales no se est+n verificando debidamente. 'ientras se prepara el informe de auditor)a, el auditor de SI deber)a: Las debilidades individualmente son de menor importancia, sin embargo, $untas tienen el potencial de debilitar sustancialmente la estructura general de control. Las opciones ( y D refle$an una falla de parte del auditor de SI para reconocer el efecto combinado de la debilidad de control. (dvertir al gerente local sin reportar los !ec!os y observaciones ocultar)a los !allagos de los otras partes interesadas. I .uando prepara un informe de auditor)a, el auditor de SI debe asegurarse que los resultados estn soportados por: El est+ndar de IS(.( sobre =informes= requiere que el auditor de SI tenga evidencias de auditor)a suficientes y apropiadas para soportar los resultados que se reportan. Las declaraciones de la gerencia de SI proveen una base para obtener concurrencia sobre asuntos que no pueden ser verificados con evidencia emp)rica. El informe debe basarse en evidencias recogidas durante el curso de la revisin aunque el auditor pueda tener I 3n auditor de SI que entrevista a un empleado de planilla encuentra que las respuestas no respaldan las descripciones de los puestos de traba$o y los procedimientos documentados. ,a$o estas circunstancias, el auditor de SI debe: Si las respuestas dadas a las preguntas de un auditor de SI no est+n confirmadas por procedimientos documentados o descripciones de puestos de traba$o, el auditor de SI debe e#pandir el alcance de las pruebas de los controles e incluir m+s pruebas sustantivas. "o !ay evidencia de que cualesquiera sean los controles que pudieran e#istir son o bien inadecuados o adecuados. %oner mayor confiana en las I La %&I".I%(L venta$a del enfoque de evaluacin del riesgo sobre el enfoque de l)nea base para la gerencia de seguridad de informacin es que ste asegura que: 3na evaluacin completa del riesgo determina el nivel apropiado para un nivel dado de riesgo, mientras que el enfoque de la l)nea base aplica meramente un con$unto est+ndar de proteccin independientemente del riesgo. Day una venta$a de costo en no sobreproteger la informacin. Sin embargo una venta$a a*n mayor es asegurarse que ning*n activo de informacin esta sobre ni protegido de manera insuficiente. El enfoque de la I En el proceso de evaluar los controles de cambio de programa, un auditor de SI usar)a soft8are de comparacin de cdigo fuente para: 3n auditor de SI tiene un ob$etivo, aseguramiento independiente y relativamente completo de cambios de programa porque la comparacin de cdigos fuente identificar+ los cambios. La opcin , es incorrecta porque los cambios !ec!os desde la adquisicin de la copia no est+n incluidos en la copia del soft8are. La opcin . es incorrecta ya que un auditor de SI tendr+ que obtener este aseguramiento separadamente. La opcin D es I -.u+l de las opciones siguientes deber)a utiliar un auditor de SI para detectar registros duplicados de facturas dentro de un arc!ivo maestro de facturas2 El Soft8are genrico de auditor)a 0:(S1 permite al auditor revisar todo el arc!ivo de facturas para buscar los elementos que cumplan con los criterios de seleccin. El muestreo de atributos ayuda a identificar los registros que cumplen con condiciones espec)ficas, pero no compara un registro con otro para identificar duplicados. %ara detectar registros duplicados de facturas, el auditor de SI deber)a verificar todos los elementos I 3n auditor de SI est+ revisando la evaluacin del riesgo de la gerencia, de los sistemas de informacin. El auditor de SI debe %&I'E&? revisar: 3no de los factores clave a ser considerados mientras se eval*an los riesgos relacionados con el uso de diversos sistemas de informacin son las amenaas y las vulnerabilidades que afectan a los activos. Los riesgos relacionados con el uso de activos de informacin deben ser evaluados aisladamente de los controles instalados. De manera similar, la eficacia de los controles debe ser considerada durante la etapa de I En el curso de la realiacin de un an+lisis de riesgo, un auditor de SI !a identificado amenaas e impactos potenciales. Inmediatamente despus, un auditor de SI debe: Es importante que un auditor de SI identifique y eval*e los controles y la seguridad e#istentes una ve que las amenaas potenciales y los impactos posibles est+n identificados. (l concluirse una auditor)a, un auditor de SI debe describir y discutir con la gerencia las amenaas y los impactos potenciales sobre los activos. I .uando se eval*a el dise9o de los controles de monitoreo de red, un auditor de SI debe %&I'E&? revisar: El primer paso para evaluar los controles de monitoreo de red debe ser la revisin de la adecuacin de la documentacin de red, espec)ficamente los diagramas de topolog)a. Si esta informacin no estuviera actualiada, entonces los procesos de monitoreo y la capacidad para diagnosticar problemas no ser+ efectiva. I -.u+l de las siguientes es la venta$a %&I".I%(L de usar soft8are forense de computacin para las investigaciones2 El ob$etivo primario del soft8are forense es preservar la evidencia electrnica para satisfacer las reglas de evidencia. La opcin ,, los a!orros en tiempo y en costos, y la eficiencia y la eficacia, opcin ., eficiencia y eficacia, son preocupaciones leg)timas y diferencian a los paquetes buenos de los paquetes deficientes de soft8are forense. La opcin D, la capacidad de investigar las violaciones de los derec!os de propiedad I Se asigna a un auditor de sistemas para que realice una revisin de un sistema de aplicacin posterior a la implementacin. -.u+l de las siguientes situaciones puede !aber comprometido la independencia del auditor de sistemas2 El auditor de SI: Se puede comprometer la independencia si el auditor de sistemas est+ o !a estado involucrado activamente en el desarrollo, adquisicin, e implementacin del sistema de aplicacin. Las opciones , y . son situaciones que no comprometen la independencia del auditor de sistemas. La opcin D es incorrecta porque la independencia del auditor de sistemas no compromete suministrando asesor)a sobre las me$ores pr+cticas I -.u+l de las opciones siguientes utiliar)a un auditor de SI para determinar si se realiaron modificaciones no autoriadas a los programas de produccin2 %ara determinar que slo se !an realiado modificaciones autoriadas a los programas de produccin, ser)a necesario revisar el proceso de gestin de cambios para evaluar la e#istencia de un rastro de evidencia documental. Las pruebas de cumplimiento ayudar)an a verificar que el proceso de gestin de cambios !a sido aplicado consistentemente. Es poco probable que el an+lisis del log de sistema provea I La ran '/S importante para que un auditor de SI obtenga evidencias suficientes y apropiadas de auditor)a es: El alcance de una auditor)a de SI est+ definido por sus ob$etivos. Esto implica identificar las debilidades de control relevantes para el alcance de la auditor)a. ?btener evidencias suficientes y apropiadas ayuda al auditor a identificar las debilidades de control pero tambin a documentarlas y validarlas. .umplir con los requisitos regulatorios, asegurar la cobertura y la e$ecucin de la auditor)a son todos relevantes para una auditor)a I El propsito %&I'(&I? de las pistas de auditor)a es: Dabilitar pistas de auditor)a ayuda a establecer la obligacin de rendir cuentas y la responsabilidad de las transacciones procesadas, rastreando transacciones a travs del sistema. El ob$etivo de !abilitar soft8are para proveer pistas de auditor)a no es me$orar la eficiencia del sistema, ya que esto implica a menudo un procesamiento adicional que puede en realidad reducir el tiempo de respuesta para los usuarios. Dabilitar I .uando desarrolla una estrategia de auditor)a basada en el riesgo, un auditor de SI debe llevar a cabo una evaluacin del riesgo para asegurar que: (l desarrollar una estrategia de auditor)a basada en el riesgo, es cr)tico que los riesgos y las vulnerabilidades sean entendidos. Esto determinar+ las +reas a ser auditadas y el grado de cobertura. Entender si est+n establecidos los controles apropiados requeridos para mitigar los riesgos es un efecto resultante de una auditor)a. Los riesgos de auditor)a son aspectos in!erentes de la auditor)a, est+n directamente relacionados I 3na prueba sustantiva para verificar que los registros de inventario de biblioteca de cinta son correctos es: 3na prueba sustantiva incluye recolectar evidencia para evaluar la integridad de las transacciones individuales, los datos y otra informacin. Llevar a cabo un conteo f)sico del inventario de cintas es una prueba sustantiva. Las opciones (, , y D son pruebas de cumplimiento. I %ara asegurar que los recursos de auditor)a entreguen el me$or valor a la organiacin, el %&I'E& paso ser)a: 'onitorear el tiempo 0la opcin (1 y auditar los programas 0opcin D1, as) como tambin un entrenamiento adecuado 0opcin ,1 me$orar+n la productividad del personal de auditor)a de SI 0eficiencia y desempe9o1, pero lo que entrega valor a la organiacin son los recursos y esfueros que se dedican a, y que est+n enfocados sobre, las +reas de mayor riesgo. I El propsito %&I'(&I? para reunirse con los auditados antes de cerrar formalmente una revisin es: El propsito %&I'(&I? para reunirse con los auditados antes de cerrar formalmente una revisin es llegar a un acuerdo sobre los !allagos. Las otras opciones, a pesar de estar relacionadas con el cierre formal de una auditor)a, son de importancia secundaria. I El grado !asta donde los datos ser+n recolectados durante una auditor)a de SI deber)a ser determinado basado en: El grado !asta donde los datos ser+n recolectados durante una auditor)a de SI debe relacionarse directamente con el alcance y el propsito de la auditor)a. 3na auditor)a que tenga un propsito y un alcance estrec!os lo m+s probable es que tendr)a como consecuencia menos recoleccin de datos, que una auditor)a que tuviera un propsito y un alcance m+s amplios. El alcance de una auditor)a de SI no I El riesgo general del negocio para una amenaa en particular se puede e#presar como: La opcin ( toma en consideracin tanto la probabilidad como la magnitud del impacto y provee la me$or medida del riesgo para un activo. La opcin , provee *nicamente la probabilidad de que una amenaa e#plote una vulnerabilidad en el activo pero no provee la magnitud del posible da9o al activo. De manera similar, la opcin . considera solamente la magnitud del da9o y no la posibilidad de que una amenaa I 3n auditor de SI que lleva a cabo una revisin del uso y licenciamiento de soft8are descubre que numerosas %.s contienen soft8are no autoriado. -.u+l de las siguientes acciones deber)a emprender el auditor de SI2 El uso de soft8are no autoriado o ilegal debe estar pro!ibido en una organiacin. La pirater)a de soft8are tiene como consecuencia la e#posicin in!erente y puede resultar en severas multas. El auditor de SI debe convencer al usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el riesgo. 3n auditor de SI no debe asumir la funcin del oficial de cumplimiento ni asumir participacin personal alguna para retirar o I -.u+l de las siguientes es la ran '/S probable de por qu los sistemas de correo electrnico se !an convertido en una fuente *til de evidencia en litigios2 Los arc!ivos de respaldo contienen documentos, que supuestamente !an sido borrados, podr)an ser recuperados de estos arc!ivos. Los controles de acceso pueden ayudar a establecer responsabilidad de dar cuenta de la emisin de un documento en particular, pero esto no provee evidencia del correo Electrnico. Las normas de clasificacin de datos pueden !aber sido fi$adas respecto a lo que deber)a comunicarse por correo I -.u+l de las siguientes es una prueba sustantiva2 3na prueba sustantiva confirma la integridad del procesamiento real. 3na prueba sustantiva determinar)a si los registros de la biblioteca de cintas est+n establecidos correctamente. 3na prueba de cumplimiento determina si se est+n aplicando los controles de una forma consistente con las pol)ticas y procedimientos de la gerencia. Eerificar la autoriacin de los reportes de e#cepcin, revisar la autoriacin para cambiar I 3na prueba integrada 0integrated test facilityCI6@1 se considera una !erramienta *til de auditor)a porque: 3na facilidad de prueba integrada se considera una !erramienta *til de auditor)a porque usa los mismos programas para comparar el procesamiento usando datos calculados de manera independiente. Esto implica establecer entidades ficticias en un sistema de aplicacin y procesar datos de prueba o de produccin contra la entidad como un medio de verificar el procesamiento adecuado. I .uando se realia una investigacin forense de computadora, con respecto a la evidencia recolectada, la '(F?& preocupacin de un auditor de SI debe ser: La preservacin y documentacin de evidencia para revisin por el organismo de cumplimiento y las autoridades $udiciales son la preocupacin primaria cuando se lleva a cabo una investigacin. "o preservar debidamente la evidencia podr)a poner en peligro la aceptacin de la evidencia en el proceso legal. El an+lisis, la evaluacin y la divulgacin son importantes pero no son la preocupacin primaria en una investigacin forense. I Durante una revisin de un arc!ivo maestro de clientes, un auditor de SI descubri numerosas duplicaciones de nombre de cliente que surg)an de variaciones en los primeros nombres del cliente. %ara determinar la e#tensin de la duplicacin, el auditor de SI usar)a: .omo el nombre no es el mismo 0debido a variaciones de los primeros nombres1, un mtodo para detectar duplicaciones seria comparar otros campos comunes, como por e$emplo las direcciones F podr)a entonces seguidamente llevarse a cabo una revisin para determinar los nombres de los clientes en estas direcciones. ,uscar los n*meros de cuenta duplicados probablemente no !allar)a duplicaciones de nombres ya I 3n auditor de SI est+ efectuando una auditor)a de un sistema operativo de red. -.u+l de las siguientes es una funcin de usuario que el auditor de SI debe revisar2 Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en l)nea de documentacin de red. ?tras funciones ser)an el acceso del usuario a diversos recursos de anfitriones 0!osts1 de red, la autoriacin del usuario a tener acceso a recursos particulares y la red y las computadoras anfitrionas 0!osts1 a ser usadas sin acciones o comandos especiales de usuario. Las opciones ,, I El 'E>?& mtodo de probar la e#actitud de un sistema de c+lculo de impuestos es: %reparar transacciones simuladas para procesar y comparar los resultados con resultados predeterminados es el 'E>?& mtodo para probar la correccin de un c+lculo de impuestos. La revisin visual detallada, la creacin de diagramas de flu$o y el an+lisis de cdigo fuente no son mtodos efectivos, y los totales mensuales no resolver)an la e#actitud de c+lculos individuales de impuestos. I .uando se eval*a el efecto colectivo de los controles preventivos de deteccin o correctivos dentro de un proceso, un auditor de SI deber)a estar consciente: 3n auditor de SI deber)a concentrarse en cuando los controles son e$ercidos como flu$os de datos a travs del sistema de computadora. La opcin , es incorrecta ya que los controles correctivos pueden ser tambin relevantes. La opcin . es incorrecta ya que los controles correctivos eliminan o reducen los efectos de los errores o irregularidades y son considerados e#clusivamente como controles compensatorios. La opcin D I -.u+l de las siguientes tcnicas de auditor)a ayudar)a '/S a un auditor a determinar si !a !abido cambios no autoriados de programa desde la *ltima actualiacin autoriada de programa2 3na comparacin autom+tica de cdigos es el proceso de comparar dos versiones del e$emplo de programa para determinar si las dos corresponden. Es una tcnica eficiente porque es un procedimiento autom+tico. Las corridas de prueba de datos permiten al auditor verificar el procesamiento de transacciones preseleccionadas, pero no proveen evidencias sobre porciones no e$ercitadas de un programa. La revisin de I 3n auditor de SI que eval*a los controles de acceso lgico debe %&I'E&?: .uando eval*a los controles de acceso lgico, un auditor de SI debe primero obtener un entendimiento del riesgo de seguridad que enfrenta el procesamiento de informacin revisando la documentacin relevante, mediante averiguaciones, y llevando a cabo una evaluacin del riesgo. La documentacin y la evaluacin es el segundo paso para determinar la adecuacin, I 3n (uditor de sistemas que trate de determinar si el acceso a la documentacin de programas est+ restringido a las personas autoriadas, lo '/S probable es que: %reguntar a los programadores sobre los procedimientos que se est+n siguiendo actualmente es *til para determinar si el acceso a la documentacin de programas est+ restringido a las personas autoriadas. Evaluar los planes de retencin de registros para almacenamiento fuera de las instalaciones pone a prueba los procedimientos de recuperacin, no el control de acceso a la documentacin de programas. %robar los I Durante una auditor)a de seguridad de procesos de 6I, un auditor de SI encontr que no !ab)a procedimientos de seguridad documentados. El auditor de SI debe: 3no de los principales ob$etivos de una auditor)a es identificar los riesgos potenciales4 por lo tanto, el mtodo m+s proactivo ser)a identificar y evaluar las pr+cticas e#istentes de seguridad que la organiacin est+ siguiendo. 3n auditor de SI no debe preparar documentacin, y si lo !iciera, su independencia estar)a en peligro. Dar por terminada la auditor)a puede impedir que se logren los ob$etivos de la auditor)a, es I -.u+l de las siguientes debe ser la '(F?& preocupacin para un auditor de SI2 "o reportar una intrusin es equivalente a un auditor de SI que esconde una intrusin maliciosa, lo cual ser)a un error profesional. ( pesar de que puede requerirse la notificacin a la polic)a y que la falta de un e#amen peridico de derec!os de acceso podr)a ser una preocupacin, ellos no representan una preocupacin tan grande como la de de$ar de reportar un ataque. &eportar al p*blico no es un requisito y I -.u+l de las siguientes debe ser la '(F?& preocupacin para un auditor de SI2 "o reportar una intrusin es equivalente a un auditor de SI que esconde una intrusin maliciosa, lo cual ser)a un error profesional. ( pesar de que puede requerirse la notificacin a la polic)a y que la falta de un e#amen peridico de derec!os de acceso podr)a ser una preocupacin, ellos no representan una preocupacin tan grande como la de de$ar de reportar un ataque. &eportar al p*blico no es un requisito y I -.u+l de las siguientes es la ran '/S probable de por qu los sistemas de correo electrnico se !an convertido en una fuente *til de evidencia en litigios2 Los arc!ivos de respaldo contienen documentos, que supuestamente !an sido borrados, podr)an ser recuperados de estos arc!ivos. Los controles de acceso pueden ayudar a establecer responsabilidad de dar cuenta de la emisin de un documento en particular, pero esto no provee evidencia del correo Electrnico. Las normas de clasificacin de datos pueden !aber sido fi$adas respecto a lo que deber)a comunicarse por correo I -.u+l de las siguientes es la venta$a %&I".I%(L de usar soft8are forense de computacin para las investigaciones2 El ob$etivo primario del soft8are forense es preservar la evidencia electrnica para satisfacer las reglas de evidencia. Los a!orros en tiempo y en costos, opcin ,, y la eficiencia y la eficacia, opcin ., son preocupaciones leg)timas y diferencian a los paquetes buenos de los paquetes deficientes de soft8are forense. La capacidad de investigar las violaciones de los derec!os de propiedad intelectual, opcin D, es un e$emplo de I -.u+l de las siguientes es una prueba sustantiva2 3na prueba sustantiva confirma la integridad del procesamiento real. 3na prueba sustantiva determinar)a si los registros de la biblioteca de cintas est+n establecidos correctamente. 3na prueba de cumplimiento determina si se est+n aplicando los controles de una forma consistente con las pol)ticas y procedimientos de la gerencia. Eerificar la autoriacin de los reportes de e#cepcin, revisar la autoriacin para cambiar I -.u+l de las siguientes formas de evidencia para el auditor se considerar)a la '/S confiable2 La evidencia obtenida de fuentes e#ternas es por lo general m+s confiable que la obtenida desde dentro de la organiacin. Las cartas de confirmacin recibidas desde el e#terior, como por e$emplo las usadas para verificar los balances de cuentas por cobrar, son por lo general altamente confiables. La prueba realiada por un auditor no puede ser confiable si el auditor no tenia un buen entendimiento del +rea tcnica ba$o revisin. I -.u+l de las siguientes !erramientas de auditor)a es la '/S importante para un auditor de SI cuando se requiere una pista de auditor)a2 3na !erramienta de instant+nea 0snaps!ot1 es m+s *til cuando se requiere una pista de auditor)a. I6@ puede usarse para incorporar transacciones de prueba en una corrida normal de produccin. .IS es *til cuando las transacciones que re*nen ciertos criterios necesitan ser e#aminadas. Los ganc!os de auditor)a son *tiles cuando slo se necesita e#aminar transacciones o procesos escogidos. I -.u+l de las siguientes opciones ser)a normalmente la evidencia '/S confiable para un auditor2 La evidencia obtenida de terceros independientes casi siempre es considerada la m+s confiable. Las respuestas ,, . y D no serian consideradas confiables. I -.u+l de las siguientes pruebas es realiada por un auditor de SI cuando es seleccionada una muestra de programas para determinar si las versiones fuentes y las versiones ob$eto son las mismas2 3na prueba de cumplimiento determina si los controles est+n operando como se dise9aron y si est+n siendo aplicados en tal forma que cumplan con las pol)ticas y procedimientos de gerencia. %or e$emplo, si al auditor de SI le preocupa si los controles de biblioteca de programas est+n funcionando correctamente, el auditor de SI podr)a seleccionar una muestra de programas para determinar si las versiones I -.u+l de las siguientes ser)a la 'E>?& poblacin de la cual tomar una muestra cuando un programa en pruebas cambia2 La me$or fuente de la cual e#traer cualquier e$emplo o prueba de un sistema de informacin es el sistema automatiado. Las bibliotecas de produccin representan e$ecutables que est+n aprobados y autoriados para procesar los datos de la organiacin. Los listados de programa fuente serian intensivos en el tiempo. Las solicitudes de cambio de programa son los documentos usados para iniciar el cambio. "o !ay I -.u+l de las siguientes tcnicas en l)nea es m+s efectiva para la deteccin temprana de errores o irregularidades2 La tcnica del ganc!o de auditor)a implica integrar cdigo en los sistemas de aplicacin para el e#amen de transacciones seleccionadas. Esto ayuda al auditor de SI a actuar ante un error o una irregularidad se sale de control. 3n modulo integrado de auditor)a implica integrar soft8are escrito especialmente en el sistema anfitrin de aplicacin de la organiacin para que los sistemas de aplicacin sean monitoreados de I -.u+l de los mtodos de muestreo es el '/S *til cuando se pone a prueba su cumplimiento2 El muestreo de atributos es el mtodo primario de muestreo que se usa para comprobar el cumplimiento. El muestreo de atributos es un modelo de muestreo que se usa para estimar la tasa de ocurrencia de una calidad especifica 0atributo1 en una poblacin y se usa en la comprobacin de cumplimiento para confirmar si esta calidad e#iste o no. Las otras elecciones se usan en comprobaciones substantivas que involucran I -.u+l de los siguientes describe 'E>?& una prueba integrada 0integrated test facilityCI6@12 La respuesta ( describe me$or una prueba integrada 0integrated test facilityCI6@1, que es un proceso de auditor)a especialiado asistido por computadora que permite que auditor de SI pruebe una aplicacin de manera continua. La respuesta , es un e$emplo de un arc!ivo de revisin de control de sistemas4 las respuestas . y D son e$emplos de instant+neas. I -.u+l de los siguientes es el '(F?& desaf)o al utiliar datos de prueba2 La eficacia de los datos de prueba est+ determinada por la e#tensin de la cobertura de todos los controles clave a ser probados. Si los datos de prueba no cubren todas las condiciones v+lidas y no v+lidas, !ay un riesgo de que la debilidad de control relevante pueda seguir sin ser detectada. Los cambios en el programa, por el per)odo cubierto por la auditor)a, pueden !aberse efectuado para depurar o para funcionalidades I -.u+l de los siguientes es un beneficio de un mtodo de planeacin de auditor)a basado en el riesgo2 El mtodo basado en el riesgo est+ dise9ado para asegurar que el tiempo de auditor)a sea empleado en las +reas de mayor riesgo. El desarrollo de un cronograma de auditor)a no est+ dirigido por un mtodo basado en el riesgo. Los cronogramas de auditor)a pueden ser preparados con meses de anticipacin usando diversos mtodos de cronograma. 3n mtodo de riesgo no tiene una correlacin directa con que el personal de auditor)a I -.u+l de los siguientes es un ob$etivo de un programa de auto evaluacin de control 0.S(12 Los ob$etivos de los programas .S( incluyen la educacin para la gerencia de l)nea en responsabilidad del control, seguimiento y concentracin de todos en las +reas de alto riesgo. Los ob$etivos de los programas de .S( incluyen el aumento de las responsabilidades de auditor)a, no el reemplao de las responsabilidades de auditor)a. Las opciones . y D son !erramientas de .S( y no ob$etivos. I -.u+l de los siguientes es una venta$a de una prueba integrada 0I6@12 3na prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prueba simult+neamente con la entrada en vivo. Su venta$a es que las pruebas peridicas no requieren procesos separados de prueba. Sin embargo, es necesaria una planeacin cuidadosa y los datos de prueba deben ser aislados de los datos de produccin. I -.u+l de los siguientes pasos realiar)a %&I'E&? un auditor de SI normalmente en una revisin de seguridad del centro de datos2 Durante la planeacin, el auditor de SI deber)a obtener una visin general de las funciones que est+n siendo auditadas y evaluar los riesgos de auditor)a y de negocios. Las opciones ( y D son parte del proceso de traba$o de campo de la auditor)a que ocurre posterior a esta planeacin y preparacin. La opcin . no es parte de una revisin de seguridad. I -.u+l de los siguientes podr)a ser usado por un auditor de SI para validar la efectividad de las rutinas de edicin y de validacin2 La prueba de integridad de dominio est+ dirigida a verificar que los datos se a$usten a las definiciones, i.e., los elementos de datos est+n todos en los dominios correctos. El ob$etivo principal de este e$ercicio es verificar que las rutinas de edicin y de validacin est+n funcionando de manera satisfactoria. Las pruebas de integridad relacional se realian a nivel del registro y por lo general implican calcular y verificar diversos campos I -Las decisiones y las acciones de un auditor es '/S probable que afecten a cu+l de los riesgos siguientes2 3n riesgo de deteccin est+ directamente afectado por la seleccin, por parte del auditor, de los procedimientos y tcnicas de auditor)a. Los riesgos in!erentes por lo general no est+n afectados por el auditor de SI. 3n riesgo de control es controlado por las acciones de la gerencia de la compa9)a. Los riesgos financieros no est+n afectados por el auditor de SI. I -5u tcnica de auditor)a provee la 'E>?& evidencia de la segregacin de funciones en un departamento de SI2 ?bservando el personal de SI cuando realia sus tareas, el auditor de SI puede identificar si ellos est+n realiando operaciones no compatibles y entrevistando el personal de SI el auditor puede obtener un panorama general de las tareas realiadas. ,asado en las observaciones y entrevistas, el auditor puede evaluar la segregacin de funciones. La gerencia no puede estar en conocimiento de las funciones detalladas de cada empleado en el departamento de I ( travs de todas las fases de un traba$o de auditor)a, el (uditor de SI debe concentrarse en: ( travs de todas las fases de la auditor)a de SI, el auditor debe asegurarse que !aya documentacin adecuada. La recoleccin de evidencias, el muestreo y las pruebas sustantivas no ocurren en todas las fases de una auditor)a4 por e$emplo, la fase de reporte no requiere la recoleccin de evidencias, sino que utiliar)a las evidencias recolectadas en una fase anterior del proceso de auditor)a. I (l llevar a cabo una auditor)a, un auditor de SI detecta la presencia de un virus. -.u+l debe ser el siguiente paso del auditor de SI2 Lo primero que un auditor de SI debe !acer despus de detectar el virus es alertar sobre su presencia a la organiacin, luego esperar la respuesta de sta. La opcin ( se debe emprender despus de la opcin .. Esto permitir+ al auditor de SI e#aminar la funcionalidad y la efectividad del sistema de respuesta. El auditor de SI no debe !acer cambios al sistema que est+ siendo auditado, y asegurar la eliminacin del virus es una I (l planear una auditor)a, el paso '/S cr)tico es la identificacin de: .uando se dise9a un plan de auditor)a, es importante identificar las +reas de m+s alto riesgo para determinar las +reas a ser auditadas. Los con$untos de !abilidades del personal de auditor)a deber)an !aberse considerado antes de decidir y de escoger la auditor)a. Los pasos de prueba para la auditor)a no son tan cr)ticos como identificar las +reas de riesgo, y el tiempo asignado para una auditor)a est+ determinado por I .uando comunican los resultados de auditor)a, los auditores de SI deben recordar que en *ltima instancia ellos son los responsables ante: El auditor de SI es en *ltima instancia responsable ante la alta gerencia y ante el comit de auditor)a de la $unta directiva. Incluso si el auditor de SI debe discutir los !allagos con el personal de gerencia de la entidad auditada 0opcin ,1, ello se !ace *nicamente para obtener acuerdo sobre los !allagos y para desarrollar un curso de accin correctiva. La opcin . es incorrecta porque el director de auditor)a de SI debe revisar el reporte I .uando se est+ desarrollando una estrategia de auditor)a basada en el riesgo, un auditor de SI debe llevar a cabo una evaluacin del riesgo para asegurar que: %ara desarrollar una estrategia de auditor)a basada en el riesgo, es cr)tico que se entiendan los riesgos y vulnerabilidades. Esto determinar+ las +reas a ser auditadas y la e#tensin de la cobertura. Entender si los controles apropiados requeridos para mitigar los riesgos est+n instalados es un efecto resultante de una auditor)a. Los riesgos de auditor)a son aspectos in!erentes de la auditor)a, est+n directamente relacionados I .uando se eval*a el dise9o de los controles de monitoreo de red, un auditor de SI debe %&I'E&? revisar: El primer paso para evaluar los controles de monitoreo de la red debe ser la revisin de la adecuacin de documentacin de red, espec)ficamente los diagramas de topolog)a. Si esta informacin no est+ actualiada, entonces los procesos de monitoreo y la capacidad para diagnosticar los problemas no ser+n efectivos. I .uando se eval*a el efecto colectivo de los controles preventivos de deteccin o correctivos dentro de un proceso, un auditor de SI deber)a estar consciente: 3n auditor de SI deber)a concentrarse en cuando los controles son e$ercidos como flu$os de datos a travs del sistema de computadora. La opcin , es incorrecta ya que los controles correctivos pueden ser tambin relevantes. La opcin . es incorrecta ya que los controles correctivos eliminan o reducen los efectos de los errores o irregularidades y son considerados e#clusivamente como controles compensatorios. La opcin D es I .uando se implementan sistemas de monitoreo continuo el %&I'E& paso de un auditor de SI es identificar: El primer paso y el m+s cr)tico en el proceso es identificar las +reas de alto riesgo dentro de la organiacin. Los gerentes del departamento de negocios y altos e$ecutivos est+n en las me$ores posiciones para ofrecer una opinin respecto a estas +reas. 3na ve que las +reas potenciales de implementacin !ayan sido identificadas, se deber)a realiar una evaluacin del impacto potencial para identificar las aplicaciones que proveen el I .uando se realia una investigacin forense de computadora, respecto a las evidencias recolectadas, un auditor de SI debe preocuparse '/S de: La preservacin y la documentacin de evidencias a ser revisadas por las autoridades policiales y $udiciales es una preocupacin primaria cuando se lleva a cabo una investigacin. "o preservar las evidencias debidamente, podr)a poner en peligro la aceptacin de las evidencias en los procesos legales. El an+lisis, la evaluacin y la revelacin son importantes pero no son de importancia primaria en una investigacin forense. I .uando se seleccionan procedimientos de auditor)a, el (uditor de SI debe usar su $uicio profesional para asegurar que: Los procedimientos son procesos posibles que un auditor de SI puede seguir en un traba$o de auditor)a. %ara determinar si alg*n procedimiento espec)fico es apropiado, el (uditor de SI debe usar su $uicio profesional apropiado para las circunstancias espec)ficas. >uicio profesional implica una evaluacin sub$etiva y a menudo cualitativa de las condiciones que surgen en el curso de una auditor)a. El $uicio se ocupa de un +rea gris donde I Durante la etapa de planeacin de una auditor)a de SI, la meta %&I'(&I( del auditor es: Las normas de auditor)a de IS(.( requieren que un auditor de SI planee el traba$o de auditor)a para alcanar los ob$etivos de auditor)a. La opcin , es incorrecta porque el auditor no recoge evidencias en la etapa de planeacin de una auditor)a. Las opciones . y D son incorrectas porque ellas no son las metas primarias de planeacin de una auditor)a. Las actividades descritas en las opciones ,, . y D son todas I Durante una auditor)a de seguridad de procesos de 6I, un auditor de SI encontr que no !ab)a procedimientos de seguridad documentados. El auditor de SI debe: 3no de los principales ob$etivos de una auditor)a es identificar los riesgos potenciales4 por lo tanto, el mtodo m+s proactivo ser)a identificar y evaluar las pr+cticas e#istentes de seguridad que la organiacin est+ siguiendo. 3n auditor de SI no debe preparar documentacin, y si lo !iciera, su independencia estar)a en peligro. Dar por terminada la auditor)a puede impedir que se logren los ob$etivos de la auditor)a, es decir, I Durante una revisin de implementacin de una aplicacin distribuida multiusuario, el auditor de SI encuentra debilidades menores en tres +reasCLa disposicin inicial de par+metros est+ instalada incorrectamente, se est+n usando contrase9as dbiles y algunos reportes vitales no se est+n verificando debidamente. 'ientras se prepara el informe de auditor)a, el auditor de SI deber)a: Las debilidades individualmente son de menor importancia, sin embargo, $untas tienen el potencial de debilitar sustancialmente la estructura general de control. Las opciones ( y D refle$an una falla de parte del auditor de SI para reconocer el efecto combinado de la debilidad de control. (dvertir al gerente local sin reportar los !ec!os y observaciones ocultar)a los !allagos de los otras partes interesadas. I Durante una revisin de los controles sobre el proceso de definir los niveles de servicios de 6I, un auditor de SI entrevistar)a '/S probablemente al: Entender los requerimientos del negocio es clave para definir los niveles de servicio. 'ientras que cada una de las otras entidades enumeradas puede suministrar alguna definicin la me$or eleccin aqu) es el gerente de unidad de negocio, debido a los amplios conocimientos que tiene esta persona sobre los requerimientos relacionados con la organiacin. I Durante una revisin de un arc!ivo maestro de clientes, un auditor de SI descubri numerosas duplicaciones de nombre de cliente que surg)an de variaciones en los primeros nombres del cliente. %ara determinar la e#tensin de la duplicacin, el auditor de SI usar)a: .omo el nombre no es el mismo 0 debido a variaciones de los primeros nombres 1, un mtodo para detectar duplicaciones seria comparar otros campos comunes, como por e$emplo las direcciones F podr)a entonces seguidamente llevarse a cabo una revisin para determinar los nombres de los clientes en estas direcciones. ,uscar los n*meros de cuenta duplicados probablemente no !allar)a duplicaciones de nombres ya I El departamento de SI de una organiacin quiere asegurarse de que los arc!ivos de computadora usados en la instalacin de procesamiento de informacin, estn respaldados adecuadamente para permitir la recuperacin apropiada. Este es un: Los ob$etivos de control de SI especifican el con$unto m)nimo de controles para asegurar la eficiencia y efectividad en las operaciones y funciones dentro de una organiacin. Los procedimientos de control se desarrollan para proveer una garant)a raonable de que se lograran los ob$etivos espec)ficos. 3n control correctivo es una categor)a de controles, que est+ dirigida a minimiar la amenaa y7o a remediar los problemas I El #ito de la autoevaluacin de control 0.S(1 depende en gran medida de: El ob$etivo primario de un programa de .S( es repaldar la funcin de auditor)a interna pasando algunas de las responsabilidades de monitoreo de control a los gerentes de l)nea del +rea funcional. El #ito de un programa de autoevaluacin de control 0.S(1 depende del grado en el que los gerentes de l)nea asumen la responsabilidad de los controles. Las opciones ,, . y D son caracter)sticas de un mtodo tradicional de auditor)a, I El grado !asta donde los datos ser+n recolectados durante una auditor)a de SI deber)a ser determinado basado en: El grado !asta donde los datos ser+n recolectados durante una auditor)a de SI debe relacionarse directamente con el alcance y el propsito de la auditor)a. 3na auditor)a que tenga un propsito y un alcance estrec!os lo m+s probable es que tendr)a como consecuencia menos recoleccin de datos, que una auditor)a que tuviera un propsito y un alcance mas amplios. El alcance de una auditor)a de SI no deber)a ser restringidos por la I El 'E>?& mtodo de probar la e#actitud de un sistema de c+lculo de impuestos es: %reparar transacciones simuladas para procesar y comparar los resultados con resultados predeterminados es el 'E>?& mtodo para probar la correccin de un c+lculo de impuestos. La revisin visual detallada, la creacin de diagramas de flu$o y el an+lisis de cdigo fuente no son mtodos efectivos, y los totales mensuales no resolver)an la e#actitud de c+lculos individuales de impuestos. I El ob$etivo %&I'(&I? de una funcin de auditor)a de SI es: La ran primaria para llevar a cabo auditor)as de SI es determinar si un sistema salvaguarda los activos y mantiene la integridad de los datos. E#aminar libros de contabilidad es uno de los procesos involucrados en una auditor)a de SI pero no es el propsito primario. Detectar fraudes podr)a ser una consecuencia de una auditor)a de SI pero no es el propsito para el que se realia una auditor)a de SI. I El propsito %&I'(&I? de las pistas de auditor)a es: Dabilitar pistas de auditor)a ayuda establecer la obligacin de rendir cuentas y la responsabilidad de las transacciones procesadas, rastreando transacciones a travs del sistema. El ob$etivo de !abilitar soft8are para proveer pistas de auditor)a no es me$orar la eficiencia del sistema, ya que esto implica a menudo un procesamiento adicional que puede en realidad reducir el tiempo de respuesta para los usuarios. Dabilitar pistas I El propsito %&I'(&I? de un contrato de auditor)a es: El contrato de auditor)a t)picamente establece la funcin y la responsabilidad del departamento de auditor)a interna. Deber)a establecer los ob$etivos de la gerencia y la delegacin de autoridad al departamento de auditor)a. Este se cambia muy pocas veces y no contiene el plan de auditor)a o el proceso de auditor)a que es por lo general parte del plan anual de auditor)a, ni describe un cdigo de conducta profesional ya I El riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya que los errores materiales no e#isten cuando en realidad e#isten, es un e$emplo de: Este es un e$emplo de riesgo de deteccin. I El riesgo general del negocio para una amenaa en particular se puede e#presar como: La opcin ( toma en consideracin tanto la probabilidad como la magnitud del impacto y provee la me$or medida del riesgo para un activo. La opcin , provee *nicamente la probabilidad de que una amenaa e#plote una vulnerabilidad en el activo pero no provee la magnitud del posible da9o al activo. De manera similar, la opcin . considera solamente la magnitud del da9o y no la posibilidad de que una amenaa I El uso de procedimientos estad)sticos de muestreo ayuda a minimiar el riesgo: El riesgo de deteccin es el riesgo de que el auditor de SI use un procedimiento inadecuado de prueba y concluya que los errores materiales no e#isten, cuando en realidad s) e#isten. 3sando muestreo estad)stico, un auditor de SI puede cuantificar con qu apro#imacin debe la muestra representar a la poblacin y debe cuantificar la probabilidad de error. El riesgo de muestreo es el riesgo de que se !agan supuestos incorrectos sobre I El vicepresidente de recursos !umanos !a solicitado una auditor)a para identificar los sobrepagos de planilla7nmina para el a9o anterior. -.u+l ser)a la 'E>?& tcnica de auditor)a para usar en esta situacin2 Las caracter)sticas del soft8are generaliado de auditor)a incluyen cmputos matem+ticos, estratificacin, an+lisis estad)stico, verificacin de secuencia, verificacin de duplicados y rec+lculos. El auditor de SI, usando soft8are generaliado de auditor)a, podr)a dise9ar pruebas apropiadas para recalcular la planilla7nmina y, de ese modo, determinar si !ubo sobrepagos, y a quines fueron efectuados. Los datos I En el curso de la realiacin de un an+lisis de riesgo, un auditor de SI !a identificado amenaas e impactos potenciales. Inmediatamente despus, un auditor de SI debe: Es importante que un auditor de SI identifique y eval*e los controles y la seguridad e#istentes una ve que las amenaas potenciales y los impactos posibles est+n identificados. (l concluirse una auditor)a, un auditor de SI debe describir y discutir con la gerencia las amenaas y los impactos potenciales sobre los activos. I En el proceso de evaluar los controles de cambio de programa, un auditor de SI usar)a soft8are de comparacin de cdigo fuente para: El auditor tiene una garant)a ob$etiva, independiente y relativamente completa de cambio de programa, ya que la comparacin del cdigo fuente identificar+ los cambios. La opcin , no es cierta, ya que los cambios !ec!os desde la adquisicin de la copia no est+n incluidos en la copia del soft8are. La opcin . no es cierta ya que el (uditor de SI tendr+ que obtener esta garant)a por separado. La opcin D no es cierta, ya que cualesquiera I En los casos en que !ay desacuerdo, durante una entrevista de salida, respecto al impacto de un !allago, el auditor de SI debe: Si los auditados no estuvieran de acuerdo con el impacto de un !allago, es importante que el auditor de SI elabore y aclare los riesgos y e#posiciones, ya que es posible que los auditados no aprecien totalmente la magnitud de la e#posicin. La meta debe ser e#plicar a los auditados o descubrir nueva informacin de que el auditor de SI puede no !aber estado en conocimiento. .ualquier cosa que pareca amenaar a I En un enfoque de auditor)a basado en el riesgo, un auditor de SI deber)a realiar primero una: El primer paso en un enfoque de auditor)a basada en el riesgo es recolectar informacin sobre el negocio y la industria para evaluar los riesgos in!erentes. Despus de realiar la evaluacin de los riesgos in!erentes, el siguiente paso ser)a realiar una evaluacin de la estructura de control interno. Los controles serian entonces probados sobre la base de los resultados de prueba, se realiar)an las pruebas sustantivas y serian evaluadas. I En un enfoque de auditor)a basado en el riesgo, un auditor de SI, adem+s del riesgo, estar)a influenciado por la: La e#istencia de controles internos y operativos tendr+ un peso sobre el enfoque de la auditor)a por el auditor de SI. En un enfoque basado en el riesgo, el auditor de SI no se esta basando solamente en el riesgo, sino tambin en los controles internos y operativos as) como tambin en el conocimiento de la compa9)a y del negocio. Este tipo de decisin de an+lisis del riesgo puede ayudar a relacionar el an+lisis costoCbeneficio del I En un servidor cr)tico, un auditor de SI descubre un caballo de 6roya que fue producido por un virus conocido que e#plota una vulnerabilidad de un sistema operativo. -.u+l de los siguientes deber)a !acer %&I'E&? un auditor2 La prioridad es salvaguardar el sistema4 por lo tanto, el auditor de SI deber)a sugerir controles correctivos, i.e., eliminar el cdigo. El auditor de SI no es responsable de investigar el virus. El auditor de SI puede analiar la informacin del virus y determinar si ste !a afectado el sistema operativo, pero esta es una tarea investigativa que tendr)a lugar despus de asegurarse que el cdigo malicioso !a sido eliminado. Instalar el I En una auditor)a de SI de varios servidores cr)ticos, el auditor quiere analiar las pistas de auditor)a para descubrir potenciales anomal)as en el comportamiento de usuarios o del sistema. -.u+l de las !erramientas siguientes es la '/S adecuada para realiar esa tarea2 Las !erramientas de deteccin de tendencias 7varianas buscan anomal)as en el comportamiento de usuarios o del sistema, por e$emplo, determinando para los documentos prenumerados si los n*meros son secuenciales o incrementales. Las !erramientas .(SE se usan para asistir en el desarrollo de soft8are. El soft8are integrado de recoleccin de datos 0auditor)a1 se usa para tomar muestras y para proveer estad)sticas de produccin. Las I En una auditor)a de una aplicacin de inventario, -qu mtodo proveer+ la 'E>?& evidencia de que las rdenes de compra son v+lidas2 %ara determinar la valide de la orden de compra, probar los controles de acceso proveer+ la me$or evidencia. Las opciones , y . est+n basadas en mtodos posteriores al !ec!o, y la opcin D no sirve al propsito porque lo que est+ en la documentacin del sistema puede no ser lo mismo que lo que est+ ocurriendo. I La alta gerencia !a solicitado que un auditor de SI asista a la gerencia departamental en la implementacin de los controles necesarios. El auditor de SI deber)a: En esta situacin el auditor de SI deber)a informar a la gerencia sobre el per$uicio a la independencia para llevar a cabo auditor)as posteriores en el +rea del auditado. 3n auditor de SI puede realiar asignaciones que no sean de auditor)a cuando la e#periencia y conocimientos del auditor pueden ser de utilidad para la gerencia4 sin embargo, realiando la asignacin que no es de auditor)a, el auditor de SI no puede llevar a cabo I La evaluacin de riesgos es un proceso: El lineamiento de auditor)a de SI sobre el uso de un an+lisis del riesgo en la planeacin de auditor)a e#presa: Gldquo46odas las metodolog)as de an+lisis de riesgo se basan en $uicios sub$etivos en ciento momento del proceso 0por e$emplo, para asignar ponderaciones a los diversos par+metros.1 El auditor de SI debe identificar las decisiones sub$etivas requeridas para usar una metodolog)a en particular y considerar si estos I La funcin %&I'(&I( de un auditor de SI durante la fase de dise9o del sistema de un proyecto de desarrollo de aplicaciones es: La funcin del auditor de SI es asegurar que estn incluidos los controles requeridos. ( menos que est presente espec)ficamente como un consultor, el auditor de SI no deber)a participar en dise9os detallados. Durante la fase de dise9o, la funcin primaria del auditor de SI es asegurar que estn incluidos los controles. ( menos que !aya alg*n desv)o potencial que reportar, al auditor de SI no le concierne el control de proyecto en I La funcin tradicional de un auditor de SI en una autoevaluacin de control 0control selfCassessmentC .S(1 debe ser la de: .uando se establecen los programas de .S(, los auditores de SI se convierten en profesionales de control interno y en facilitadores de evaluaciones. Los auditores de SI son los facilitadores y el cliente 0gerencia y personal1 es el participante en el proceso de .S(. Durante un taller de .S(, en ve de que el auditor de SI realice procedimientos detallados de auditor)a, deber)a conducir y orientar a los clientes para evaluar su I La %&I".I%(L venta$a del enfoque de evaluacin del riesgo sobre el enfoque de l)nea base para la gerencia de seguridad de informacin es que ste asegura que: 3na evaluacin completa del riesgo determina el nivel apropiado para un nivel dado de riesgo, mientras que el enfoque de la l)nea base aplica meramente un con$unto est+ndar de proteccin independientemente del riesgo. Day una venta$a de costo en no sobreproteger la informacin. Sin embargo una venta$a a*n mayor es asegurarse que ning*n activo de informacin esta sobre ni protegido de manera insuficiente. El enfoque de la I La ran %&I'(&I( de un auditor de SI que realia un recorrido profesional durante la fase preliminar de una asignacin de auditor)a es: Entender el proceso de negocio es el primer paso que el (uditor de SI necesita realiar. Los est+ndares no requieren que el auditor realice un recorrido del proceso. Identificar las debilidades de los controles no es la ran primaria para el recorrido y ocurre t)picamente en una etapa posterior en la auditor)a, y planear las pruebas sustantivas tambin se !ace en una etapa posterior en la auditor)a. I La responsabilidad, autoridad y obligacin de rendir cuentas de las funciones de auditor)a de los sistemas de informacin est+n debidamente documentadas en una carta o contrato de auditor)a 0(udit .!arter1 y DE,E" ser: La norma sobre responsabilidad, autoridad y obligacin de rendir cuentas e#presa Gldquo4La responsabilidad autoridad, y obligaciones de rendir cuentas de la funcin de auditor)a de los sistemas de informacin deben ser debidamente documentadas en una carta de auditor)a o carta compromiso.Grdquo4 Las opciones , y . son incorrectas porque la carta de auditor)a debe ser aprobada por la gerencia de mas alto nivel, no I La venta$a %&I'(&I( de un enfoque continuo de auditor)a es que: El uso de tcnicas continuas de auditor)a puede en realidad me$orar la seguridad del sistema cuando se usa en entornos que comparten el tiempo que procesan un gran numero de transacciones, pero de$an muy pocas pistas de papel. La opcin ( es incorrecta ya que el enfoque de auditor)a continua a menudo requiere que un auditor de SI recolecte evidencia sobre la confiabilidad del sistema mientras est+ llevando a I Los an+lisis de riesgos realiados por los auditores de SI son un factor cr)tico para la planeacin de la auditor)a. Se debe !acer un an+lisis del riesgo para proveer: La directri para la auditor)a de SI sobre la planeacin de la auditor)a de SI establece: Gldquo4Se debe !acer un an+lisis de riesgo para proveer garant)a raonable de que se abarcaran adecuadamente los puntos materiales. Este an+lisis debe identificar +reas con riesgo relativamente alto de e#istencia de problemas materialesGrdquo4. :arant)a suficiente de que se abarcaran los puntos materiales durante el traba$o de I Los diagramas de flu$o de datos son usados por los (uditores de SI para: Los diagramas de flu$o de datos se usan como ayudas para graficar o diagramar el flu$o y almacenamiento de datos, con ellos se rastrean los datos desde su origen !asta su destino, resaltando las rutas y el almacenamiento de los datos. Los diagramas de flu$o no ordenan los datos en ning*n orden $er+rquico. El flu$o de los datos no coincidir+ necesariamente con ning*n orden $er+rquico o de generacin de datos. I %ara asegurar que los recursos de auditor)a entreguen el me$or valor a la organiacin, el %&I'E& paso ser)a: 'onitorear el tiempo 0(1 y los programas de auditor)a 0D1, as) como tambin una capacitacin adecuada 0,1 me$orar+ la productividad del personal de auditor)a de SI 0eficiencia y desempe9o1, pero lo que entrega valor a la organiacin son los recursos y esfueros que se est+n dedicando y que est+n concentrados en las +reas de mayor riesgo. I %ara determinar la suma de dlares de los c!eques emitidos a cada vendedor en un per)odo especificado, el (uditor de SI debe usar: El soft8are generaliado de auditor)a facilitar+ la revisin de todo el arc!ivo para buscar los ob$etos que satisfagan los criterios de seleccin. El soft8are generaliado de auditor)a provee acceso a los datos y provee las caracter)sticas de cmputo, estratificacin, etc. El simulacro paralelo procesa los datos de produccin usando programas de computadora que simulan la lgica de programa de aplicacin y no I %ara identificar el valor del inventario que se !a guardado 0no !an rotado1 por m+s de oc!o semanas, lo '/S probable es que un auditor de SI utilice: El soft8are generaliado de auditor)a facilitara la revisin de todo el arc!ivo de inventario para buscar los rubros que cumplan los criterios de seleccin. El soft8are generaliado de auditor)a provee acceso directo a los datos y provee funciones de cmputo, estratificacin, etc. Los datos de prueba son usados para verificar programas, pero no confirmaran nada sobre las transacciones en cuestin. El uso de mtodos de muestreo I &especto al muestreo, se puede decir que: El muestreo estad)stico cuantifica que tan apro#imadamente deber)a una muestra representar a la poblacin, por lo general como un porcenta$e. Si el auditor sabe que los controles internos son fuertes, el coeficiente de confiana puede descender. El muestreo es generalmente aplicable cuando la poblacin se refiere a un control tangible o documentado. La opcin . es una descripcin del muestreo detenerse o seguir. La opcin D I &evisar los planes estratgicos a largo plao de la gerencia ayuda al auditor de SI a: La planeacin estratgica pone en movimiento los ob$etivos corporativos o departamentales. La planeacin estratgica est+ orientada al tiempo y al proyecto, pero debe tambin tratar y ayudar a determinar prioridades para satisfacer las necesidades del negocio. &evisar los planes estratgicos a largo plao no alcanar)a los ob$etivos e#presados por las otras opciones. I Se asigna a un auditor de sistemas para que realice una revisin de un sistema de aplicacin posterior a la implementacin. -.u+l de las siguientes situaciones puede !aber comprometido la independencia del auditor de sistemas2 El auditor de sistemas: Se puede comprometer la independencia si el auditor de sistemas est+ o !a estado involucrado activamente en el desarrollo, adquisicin, e implementacin del sistema de aplicacin. Las opciones , y . son situaciones que no comprometen la independencia del auditor de sistemas. La opcin D es incorrecta porque la independencia del auditor de sistemas no compromete suministrando asesor)a sobre las me$ores pr+cticas I 3n auditor de SI debe usar muestreo estad)stico y no muestreo de $uicio 0no estad)stico1, cuando: Dada una tasa de error esperado y un nivel de confiana, el muestreo estad)stico es un mtodo ob$etivo de muestreo, que ayuda a un auditor de SI a determinar el tama9o de la muestra y a cuantificar la probabilidad de error 0coeficiente de confiana1. La opcin , es incorrecta porque el riesgo de muestreo es el riesgo de que una muestra no sea representativa de la poblacin. Este riesgo e#iste tanto para las muestras de I 3n auditor de SI descubre evidencia de fraude perpetrado con la identificacin del usuario de un :erente. El gerente !ab)a escrito la contrase9a, asignada por el administrador del sistema, dentro del ca$n7 la gaveta de su escritorio. El auditor de SI deber)a concluir que el: Las debilidades de control de contrase9a significan que cualquiera de las otras tres opciones podr)a ser cierta. La seguridad de contrase9a identificar)a normalmente al perpetrador. En este caso, no establece culpa m+s all+ de la duda I 3n (uditor de SI emite un reporte de auditor)a se9alando la falta de funciones de proteccin de fire8all en la entrada 0gate8ay1 perimetral de la red y recomienda que un vendedor de productos resuelva esta vulnerabilidad. El auditor no !a e$ercido: .uando un auditor de SI recomienda un vendedor espec)fico, ellos comprometen su independencia profesional. La independence organiacional no tiene relevancia para el contenido de un reporte de auditor)a y debe considerarse en el momento de aceptar el compromiso. Las competencias tcnica y profesional no son relevantes para el requerimiento de independencia. I 3n auditor de SI est+ efectuando una auditor)a de un sistema operativo de red. -.u+l de las siguientes es una funcin de usuario que el auditor de SI debe revisar2 Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en l)nea de documentacin de red. ?tras funciones ser)an el acceso del usuario a diversos recursos de anfitriones 0!osts1 de red, la autoriacin del usuario a tener acceso a recursos particulares y la red y las computadoras anfitrionas 0!osts1 a ser usadas sin acciones o comandos especiales de usuario. Las opciones ,, . y D son e$emplos de I 3n auditor de SI est+ evaluando una red corporativa en busca de una posible penetracin por parte de empleados internos. -.u+l de los !allagos siguientes deber)a preocupar '/S al auditor de SI2 El aprovec!amiento de un ID y contrase9a de usuario conocidos requiere m)nimos conocimientos tcnicos y e#pone los recursos de la red a la e#plotacin 0maliciosa 1. La barrera tcnica es ba$a y el impacto puede ser muy elevado4 por lo tanto, el !ec!o de que muc!os IDs de usuario tengan contrase9as idnticas representa la mayor amenaa. Los mdems e#ternos representan un riesgo de seguridad, pero la e#plotacin o aprovec!amiento a*n depende del uso de una cuenta v+lida de I 3n auditor de SI est+ revisando el acceso a una aplicacin para determinar si los ;A formularios Gldquo 4nuevo usuarioGrdquo4 m+s recientes fueron correctamente autoriados. Este es un e$emplo de: La prueba de cumplimiento determina si los controles se est+n aplicando de acuerdo con las pol)ticas. Esto incluye pruebas para determinar si las nuevas cuentas fueron debidamente autoriadas. El muestreo de variables se usa para estimar los valores numricos, tales como valores de dlar. La prueba sustantiva sustancia la integridad del procesamiento real, como por e$emplo los saldos de los estados financieros. El I 3n auditor de SI est+ revisando la evaluacin del riesgo de la gerencia, de los sistemas de informacin. El auditor de SI debe %&I'E&? revisar: 3no de los factores clave a ser considerados mientras se eval*an los riesgos relacionados con el uso de diversos sistemas de informacin son las amenaas y las vulnerabilidades que afectan a los activos. Los riesgos relacionados con el uso de activos de informacin deben ser evaluados aisladamente de los controles instalados. De manera similar, la eficacia de los controles debe ser considerada durante la etapa de mitigacin I 3n auditor de SI eval*a los resultados de prueba de una modificacin a un sistema que trata con cmputo de pagos. El auditor encuentra que el <A B de los c+lculos no coinciden con los totales predeterminados. -.u+l de los siguientes es '/S probable que sea el siguiente paso en la auditor)a2 El auditor de SI deber)a luego e#aminar casos donde ocurrieron c+lculos incorrectos y confirmar los resultados. Despus de que los c+lculos !ayan sido confirmados, m+s pruebas pueden ser llevadas a cabo y revisadas. La preparacin de reportes, !allagos y recomendaciones no se !ar)a !asta que todos los resultados fueran confirmados. I 3n auditor de SI !a evaluado los controles en busca de la integridad de los datos en una aplicacin financiera. -.u+l de los !allagos siguientes ser)a el '/S significativo2 Este es el !allago m+s significativo ya que afecta directamente la integridad de los datos de la aplicacin y es evidencia de un proceso inadecuado de control de cambios y los derec!os de acceso incorrectos al entorno de procesamiento. ( pesar de que las copias de respaldo slo una ve por semana es un !allago, ello no afecta la integridad de los datos en el sistema. La documentacin incompleta de desarrollo de la aplicacin no afecta la I 3n auditor de SI !a importado datos de la base de datos del cliente. El paso siguiente para confirmar si los datos importados est+n completos se lleva a cabo: .omparar los totales de control de los datos importados con los totales de control de los datos originales es el siguiente paso lgico, ya que esto confirma la integridad de los datos importados. "o es posible confirmar la totalidad 0completeness1 clasificando los datos importados, porque los datos originales pueden no estar en el orden de clasificacin. (dem+s la clasificacin no provee totales de control para verificar la totalidad I 3n (uditor de SI que entrevista a un empleado de planilla encuentra que las respuestas no respaldan las descripciones de los puestos de traba$o y de los procedimientos documentados. ,a$o estas circunstancias, el (uditor de SI debe: Si las respuestas que se dieron a las preguntas del auditor no fueran confirmadas por los procedimientos documentados o por las descripciones de los puestos de traba$o, el (uditor de SI debe e#pandir el alcance de las pruebas de los controles e incluir pruebas sustantivas adicionales. "o !ay evidencias de si los controles que podr)an e#istir son adecuados o inadecuados. %oner mayor confiana en las auditor)as anteriores o I 3n auditor de SI que lleva a cabo una revisin del uso y licenciamiento de soft8are descubre que numerosas %.s contienen soft8are no autoriado. -.u+l de las siguientes acciones deber)a emprender el auditor de SI2 El uso de soft8are no autoriado o ilegal debe estar pro!ibido en una organiacin. La pirater)a de soft8are tiene como consecuencia la e#posicin in!erente y puede resultar en severas multas. El auditor de SI debe convencer al usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el riesgo. 3n auditor de SI no debe asumir la funcin del oficial de cumplimiento niasumir participacin personal alguna para retirar o I 3n auditor de SI que realia una revisin de los controles de aplicacin evaluar)a: 3n control de revisin de aplicaciones implica la evaluacin de los controles automatiados de la aplicacin y una evaluacin de cualesquiera e#posiciones resultantes de las debilidades del control. Las otras opciones pueden ser ob$etivos de una auditor)a de aplicacin pero no forman parte de una auditor)a restringida a una revisin de controles. I 3n auditor de SI revisa un organigrama %&I'(&I('E"6E para: 3n organigrama provee informacin sobre las responsabilidades y la autoridad de personas en la organiacin. Esto ayuda al auditor de SI a saber si !ay una segregacin apropiada de funciones. 3n diagrama de flu$o de traba$o proporcionar)a informacin sobre las funciones de diferentes empleados. 3n diagrama de red proveer+ informacin sobre el uso de diversos canales de comunicacin e indicar+ la cone#in de los usuarios a la red. I 3n auditor de SI revisando la efectividad de los controles de 6I, encontr un informe de auditor)a anterior, sin documentos de traba$o. -.mo debe proceder el auditor de SI2 En ausencia de documentos de traba$o de auditor)a, un auditor de SI debe volver a probar los controles para ver su efectividad. Sin volver a probar el auditor no estar+ e$erciendo el debido cuidado profesional mientras realia la auditor)a. Los documentos de traba$o pueden ayudar al auditor a eliminar la necesidad de volver a probar4 sin embargo, el auditor debe estar preparado para volver a probar los controles. I 3n (uditor de sistemas que trate de determinar si el acceso a la documentacin de programas est+ restringido a las personas autoriadas, lo '/S probable es que: %reguntar a los programadores sobre los procedimientos que se est+n siguiendo actualmente es *til para determinar si el acceso a la documentacin de programas est+ restringido a las personas autoriadas. Evaluar los planes de retencin de registros para almacenamiento fuera de las instalaciones pone a prueba los procedimientos de recuperacin, no el control de acceso a la documentacin de programas. %robar los I 3n beneficio %&I'(&I? para una organiacin que emplea tcnicas de auto evaluacin de controles 0control selfCassessmentC.S(1, es que ella: La .S( se predica sobre la revisin de las +reas de alto riesgo que o bien necesitan atencin inmediata o una revisin m+s e#!austiva en una fec!a posterior. La respuesta , es incorrecta porque la .S( requiere la participacin de tanto los auditores como la gerencia de l)nea. Lo que ocurre es que la funcin de auditor)a interna pasa algunas de las responsabilidades de monitoreo de control a las +reas funcionales. La respuesta . es I 3n .ontrato de auditor)a deber)a: 3n contrato de auditor)a deber)a establecer los ob$etivos de la gerencia para, y la delegacin de autoridad a la auditor)a de SI. Este contrato no deber)a cambiar de manera significativa con l tiempo y deber)a ser aprobado al nivel mas alto de la gerencia. El contrato de auditor)a no estar)a a un nivel de detalle y por lo tanto no incluir)a ob$etivos o procedimientos espec)ficos de auditor)a. I 3n elemento clave en un an+lisis de riesgo es 7son: Las vulnerabilidades son un elemento clave en la realiacin de un an+lisis de riesgo. La planeacin de la auditor)a est+ constituida por procesos de corto y largo plao que pueden detectar amenaas a los activos de informacin. Los controles mitigan los riesgos asociados con amenaas espec)ficas. Las responsabilidades son parte del negocio y no son un riesgo en forma in!erente. I 3na accin correctiva !a sido tomada por un auditado inmediatamente despus de la identificacin de un !allago que deber)a ser reportado. El auditor debe: Incluir el !allago en el reporte final es una pr+ctica de auditor)a generalmente aceptada. Si se emprende una accin despus de que comen la auditor)a y antes de que terminara, el reporte de auditor)a debe identificar el !allago y describir la accin correctiva tomada. 3n reporte de auditor)a debe refle$ar la situacin, tal como sta e#ist)a en el comieno de la auditor)a. 6odas las acciones correctivas emprendidas por el auditado I 3na prueba integrada 0integrated test facilityCI6@1 se considera una !erramienta *til de auditor)a porque: 3na facilidad de prueba integrada se considera una !erramienta *til de auditor)a porque usa los mismos programas para comparar el procesamiento usando datos calculados de manera independiente. Esto implica establecer entidades ficticias en un sistema de aplicacin y procesar datos de prueba o de produccin contra la entidad como un medio de verificar el procesamiento adecuado. I 3na prueba sustantiva para verificar que los registros de inventario de biblioteca de cintas son correctos, es: 3na prueba sustantiva incluye recolectar evidencias para evaluar la integridad de las transacciones individuales, de los datos o de otra informacin. 3n conteo f)sico del inventario de cintas es una prueba sustantiva. Las opciones (, , y D son pruebas de cumplimiento. I 3n auditor de SI est+ revisando el acceso a una aplicacin para determinar si los ;A formularios =nuevo usuario= m+s recientes fueron correctamente autoriados. Este es un e$emplo de: La prueba de cumplimiento determina si los controles se est+n aplicando de acuerdo con las pol)ticas. Esto incluye pruebas para determinar si las nuevas cuentas fueron debidamente autoriadas. El muestreo de variables se usa para estimar los valores numricos, tales como valores de dlar. La prueba sustantiva sustancia la integridad del procesamiento real, como por e$emplo los saldos de los estados financieros. El I -Las decisiones y las acciones de un auditor es '+S probable que afecten a cu+l de los riesgos siguientes2 3n riesgo de deteccin est+ directamente afectado por la seleccin, por parte del auditor, de los procedimientos y tcnicas de auditor)a. Los riesgos in!erentes por lo general no est+n afectados por el auditor de SI. 3n riesgo de control es controlado por las acciones de la gerencia de la compa9)a. Los riesgos financieros no est+n afectados por el auditor de SI. I La alta gerencia !a solicitado que un auditor de SI asista a la gerencia departamental en la implementacin de los controles necesarios. El auditor de SI deber)a: En esta situacin el auditor de SI deber)a informar a la gerencia sobre el per$uicio a la independencia para llevar a cabo auditor)as posteriores en el +rea del auditado. 3n auditor de SI puede realiar asignaciones que no sean de auditor)a cuando la e#periencia y conocimientos del auditor pueden ser de utilidad para la gerencia4 sin embargo, realiando la asignacin que no es de auditor)a, el auditor de SI no puede llevar a cabo futuras I El riesgo general del negocio para una amenaa en particular se puede e#presar como: La opcin ( toma en consideracin tanto la probabilidad como la magnitud del impacto y provee la me$or medida del riesgo para un activo. La opcin , provee *nicamente la probabilidad de que una amenaa e#plote una vulnerabilidad en el activo pero no provee la magnitud del posible da9o al activo. De manera similar, la opcin . considera solamente la magnitud del da9o y no la posibilidad de que una amenaa I -.u+l de las siguientes es una prueba sustantiva2 3na prueba sustantiva confirma la integridad del procesamiento real. 3na prueba sustantiva determinar)a si los registros de la biblioteca de cintas est+n establecidos correctamente. 3na prueba de cumplimiento determina si se est+n aplicando los controles de una forma consistente con las pol)ticas y procedimientos de la gerencia. Eerificar la autoriacin de los reportes de e#cepcin, revisar la autoriacin para cambiar I El uso de procedimientos estad)sticos de muestreo ayuda a minimiar el riesgo: El riesgo de deteccin es el riesgo de que el auditor de SI use un procedimiento inadecuado de prueba y concluya que los errores materiales no e#isten, cuando en realidad s) e#isten. 3sando muestreo estad)stico, un auditor de SI puede cuantificar con qu apro#imacin debe la muestra representar a la poblacin y debe cuantificar la probabilidad de error. El riesgo de muestreo es el riesgo de que se !agan supuestos incorrectos I -.u+l de los siguientes es un beneficio de un mtodo de planeacin de auditor)a basado en el riesgo2 El mtodo basado en el riesgo est+ dise9ado para asegurar que el tiempo de auditor)a sea empleado en las +reas de mayor riesgo. El desarrollo de un cronograma de auditor)a no est+ dirigido por un mtodo basado en el riesgo. Los cronogramas de auditor)a pueden ser preparados con meses de anticipacin usando diversos mtodos de cronograma. 3n mtodo de riesgo no tiene una correlacin directa con que el personal de auditor)a I El ob$etivo %&I'(&I? de una funcin de auditor)a de SI es: La ran primaria para llevar a cabo auditor)as de SI es determinar si un sistema salvaguarda los activos y mantiene la integridad de los datos. E#aminar libros de contabilidad es uno de los procesos involucrados en una auditor)a de SI pero no es el propsito primario. Detectar fraudes podr)a ser una consecuencia de una auditor)a de SI pero no es el propsito para el que se realia una auditor)a de SI. I 3n auditor de SI que lleva a cabo una revisin del uso y licenciamiento de soft8are descubre que numerosas %.s contienen soft8are no autoriado. -.u+l de las siguientes acciones deber)a emprender el auditor de SI2 El uso de soft8are no autoriado o ilegal debe estar pro!ibido en una organiacin. La pirater)a de soft8are tiene como consecuencia la e#posicin in!erente y puede resultar en severas multas. El auditor de SI debe convencer al usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el riesgo. 3n auditor de SI no debe asumir la funcin del oficial de cumplimiento niasumir participacin personal alguna para retirar o I 3n elemento clave en un an+lisis de riesgo es 7son: Las vulnerabilidades son un elemento clave en la realiacin de un an+lisis de riesgo. La planeacin de la auditor)a est+ constituida por procesos de corto y largo plao que pueden detectar amenaas a los activos de informacin. Los controles mitigan los riesgos asociados con amenaas espec)ficas. Las responsabilidades son parte del negocio y no son un riesgo en forma in!erente. I 3n .ontrato de auditor)a deber)a: 3n contrato de auditor)a deber)a establecer los ob$etivos de la gerencia para, y la delegacin de autoridad a la auditor)a de SI. Este contrato no deber)a cambiar de manera significativa con l tiempo y deber)a ser aprobado al nivel mas alto de la gerencia. El contrato de auditor)a no estar)a a un nivel de detalle y por lo tanto no incluir)a ob$etivos o procedimientos espec)ficos de auditor)a. I En un enfoque de auditor)a basado en el riesgo, un auditor de SI, adem+s del riesgo, estar)a influenciado por la: La e#istencia de controles internos y operativos tendr+ un peso sobre el enfoque de la auditor)a por el auditor de SI. En un enfoque basado en el riesgo, el auditor de SI no se esta basando solamente en el riesgo, sino tambin en los controles internos y operativos as) como tambin en el conocimiento de la compa9)a y del negocio. Este tipo de decisin de an+lisis del riesgo puede ayudar a relacionar el an+lisis costoCbeneficio del I La %&I".I%(L venta$a del enfoque de evaluacin del riesgo sobre el enfoque de l)nea base para la gerencia de seguridad de informacin es que ste asegura que: 3na evaluacin completa del riesgo determina el nivel apropiado para un nivel dado de riesgo, mientras que el enfoque de la l)nea base aplica meramente un con$unto est+ndar de proteccin independientemente del riesgo. Day una venta$a de costo en no sobreproteger la informacin. Sin embargo una venta$a a*n mayor es asegurarse que ning*n activo de informacin esta sobre ni protegido de manera insuficiente. El enfoque de la evaluacin I -.u+l de los mtodos de muestreo es el '+S *til cuando se pone a prueba su cumplimiento2 El muestreo de atributos es el mtodo primario de muestreo que se usa para comprobar el cumplimiento. El muestreo de atributos es un modelo de muestreo que se usa para estimar la tasa de ocurrencia de una calidad especifica 0atributo1 en una poblacin y se usa en la comprobacin de cumplimiento para confirmar si esta calidad e#iste o no. Las otras elecciones se usan en comprobaciones substantivas que involucran I El propsito %&I'(&I? de un contrato de auditor)a es: El contrato de auditor)a t)picamente establece la funcin y la responsabilidad del departamento de auditor)a interna. Deber)a establecer los ob$etivos de la gerencia y la delegacin de autoridad al departamento de auditor)a. Este se cambia muy pocas veces y no contiene el plan de auditor)a o el proceso de auditor)a que es por lo general parte del plan anual de auditor)a, ni describe un cdigo de conducta profesional ya I -.u+l de las siguientes es la ran '+S probable de por qu los sistemas de correo electrnico se !an convertido en una fuente *til de evidencia en litigios2 Los arc!ivos de respaldo contienen documentos, que supuestamente !an sido borrados, podr)an ser recuperados de estos arc!ivos. Los controles de acceso pueden ayudar a establecer responsabilidad de dar cuenta de la emisin de un documento en particular, pero esto no provee evidencia del correo Electrnico. Las normas de clasificacin de datos pueden !aber sido fi$adas respecto a lo que deber)a I El departamento de SI de una organiacin quiere asegurarse de que los arc!ivos de computadora usados en la instalacin de procesamiento de informacin, estn respaldados adecuadamente para permitir la recuperacin apropiada. Este es un: Los ob$etivos de control de SI especifican el con$unto m)nimo de controles para asegurar la eficiencia y efectividad en las operaciones y funciones dentro de una organiacin. Los procedimientos de control se desarrollan para proveer una garant)a raonable de que se lograran los ob$etivos espec)ficos. 3n control correctivo es una categor)a de controles, que est+ dirigida a minimiar la amenaa y7o a remediar los problemas I Se asigna a un auditor de sistemas para que realice una revisin de un sistema de aplicacin posterior a la implementacin. -.u+l de las siguientes situaciones puede !aber comprometido la independencia del auditor de sistemas2 El auditor de sistemas: Se puede comprometer la independencia si el auditor de sistemas est+ o !a estado involucrado activamente en el desarrollo, adquisicin, e implementacin del sistema de aplicacin. Las opciones , y . son situaciones que no comprometen la independencia del auditor de sistemas. La opcin D es incorrecta porque la independencia del auditor de sistemas no compromete suministrando asesor)a sobre las me$ores pr+cticas I La venta$a %&I'(&I( de un enfoque continuo de auditor)a es que: El uso de tcnicas continuas de auditor)a puede en realidad me$orar la seguridad del sistema cuando se usa en entornos que comparten el tiempo que procesan un gran numero de transacciones, pero de$an muy pocas pistas de papel. La opcin ( es incorrecta ya que el enfoque de auditor)a continua a menudo requiere que un auditor de SI recolecte evidencia sobre la confiabilidad del sistema mientras est+ llevando a cabo I -.u+l de los siguientes es un ob$etivo de un programa de auto evaluacin de control 0.S(12 Los ob$etivos de los programas .S( incluyen la educacin para la gerencia de l)nea en responsabilidad del control, seguimiento y concentracin de todos en las +reas de alto riesgo. Los ob$etivos de los programas de .S( incluyen el aumento de las responsabilidades de auditor)a, no el reemplao de las responsabilidades de auditor)a. Las opciones . y D son !erramientas de .S( y no ob$etivos. I -.u+l de las siguientes pruebas es realiada por un auditor de SI cuando es seleccionada una muestra de programas para determinar si las versiones fuentes y las versiones ob$eto son las mismas2 3na prueba de cumplimiento determina si los controles est+n operando como se dise9aron y si est+n siendo aplicados en tal forma que cumplan con las pol)ticas y procedimientos de gerencia. %or e$emplo, si al auditor de SI le preocupa si los controles de biblioteca de programas est+n funcionando correctamente, el auditor de SI podr)a seleccionar una muestra de programas para determinar si las versiones fuente y las I El propsito %&I'(&I? de las pistas de auditor)a es: Dabilitar pistas de auditor)a ayuda establecer la obligacin de rendir cuentas y la responsabilidad de las transacciones procesadas, rastreando transacciones a travs del sistema. El ob$etivo de !abilitar soft8are para proveer pistas de auditor)a no es me$orar la eficiencia del sistema, ya que esto implica a menudo un procesamiento adicional que puede en realidad reducir el tiempo de respuesta para los usuarios. Dabilitar pistas I El riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya que los errores materiales no e#isten cuando en realidad e#isten, es un e$emplo de: Este es un e$emplo de riesgo de deteccin. I En un enfoque de auditor)a basado en el riesgo, un auditor de SI deber)a realiar primero una: El primer paso en un enfoque de auditor)a basada en el riesgo es recolectar informacin sobre el negocio y la industria para evaluar los riesgos in!erentes. Despus de realiar la evaluacin de los riesgos in!erentes, el siguiente paso ser)a realiar una evaluacin de la estructura de control interno. Los controles serian entonces probados sobre la base de los resultados de prueba, se realiar)an las pruebas sustantivas y serian evaluadas. I &especto al muestreo, se puede decir que: El muestreo estad)stico cuantifica que tan apro#imadamente deber)a una muestra representar a la poblacin, por lo general como un porcenta$e. Si el auditor sabe que los controles internos son fuertes, el coeficiente de confiana puede descender. El muestreo es generalmente aplicable cuando la poblacin se refiere a un control tangible o documentado. La opcin . es una descripcin del muestreo detenerse o seguir. La opcin D es una I La evaluacin de riesgos es un proceso: El lineamiento de auditor)a de SI sobre el uso de un an+lisis del riesgo en la planeacin de auditor)a e#presa: =6odas las metodolog)as de an+lisis de riesgo se basan en $uicios sub$etivos en ciento momento del proceso 0por e$emplo, para asignar ponderaciones a los diversos par+metros.1 El auditor de SI debe identificar las decisiones sub$etivas requeridas para usar una metodolog)a en particular y considerar si estos $uicios pueden I La responsabilidad, autoridad y obligacin de rendir cuentas de las funciones de auditor)a de los sistemas de informacin est+n debidamente documentadas en una carta o contrato de auditor)a 0(udit .!arter1 y DE,E" ser: La norma sobre responsabilidad, autoridad y obligacin de rendir cuentas e#presa =La responsabilidad autoridad, y obligaciones de rendir cuentas de la funcin de auditor)a de los sistemas de informacin deben ser debidamente documentadas en una carta de auditor)a o carta compromiso.= Las opciones , y . son incorrectas porque la carta de auditor)a debe ser aprobada por la gerencia de mas alto nivel, no meramente I &evisar los planes estratgicos a largo plao de la gerencia ayuda al auditor de SI a: La planeacin estratgica pone en movimiento los ob$etivos corporativos o departamentales. La planeacin estratgica est+ orientada al tiempo y al proyecto, pero debe tambin tratar y ayudar a determinar prioridades para satisfacer las necesidades del negocio. &evisar los planes estratgicos a largo plao no alcanar)a los ob$etivos e#presados por las otras opciones. I 3n auditor de SI est+ revisando la evaluacin del riesgo de la gerencia, de los sistemas de informacin. El auditor de SI debe %&I'E&? revisar: 3no de los factores clave a ser considerados mientras se eval*an los riesgos relacionados con el uso de diversos sistemas de informacin son las amenaas y las vulnerabilidades que afectan a los activos. Los riesgos relacionados con el uso de activos de informacin deben ser evaluados aisladamente de los controles instalados. De manera similar, la eficacia de los controles debe ser considerada durante la etapa de mitigacin I (l planear una auditor)a, el paso '+S cr)tico es la identificacin de: .uando se dise9a un plan de auditor)a, es importante identificar las +reas de m+s alto riesgo para determinar las +reas a ser auditadas. Los con$untos de !abilidades del personal de auditor)a deber)an !aberse considerado antes de decidir y de escoger la auditor)a. Los pasos de prueba para la auditor)a no son tan cr)ticos como identificar las +reas de riesgo, y el tiempo asignado para una auditor)a est+ determinado por las I 3n beneficio %&I'(&I? para una organiacin que emplea tcnicas de auto evaluacin de controles 0control selfCassessmentGmdas!4.S(1, es que ella: La .S( se predica sobre la revisin de las +reas de alto riesgo que o bien necesitan atencin inmediata o una revisin m+s e#!austiva en una fec!a posterior. La respuesta , es incorrecta porque la .S( requiere la participacin de tanto los auditores como la gerencia de l)nea. Lo que ocurre es que la funcin de auditor)a interna pasa algunas de las responsabilidades de monitoreo de control a las +reas funcionales. La respuesta . es I El grado !asta donde los datos ser+n recolectados durante una auditor)a de SI deber)a ser determinado basado en: El grado !asta donde los datos ser+n recolectados durante una auditor)a de SI debe relacionarse directamente con el alcance y el propsito de la auditor)a. 3na auditor)a que tenga un propsito y un alcance estrec!os lo m+s probable es que tendr)a como consecuencia menos recoleccin de datos, que una auditor)a que tuviera un propsito y un alcance mas amplios. El alcance de una auditor)a de SI no deber)a ser restringidos por I .uando se implementan sistemas de monitoreo continuo el %&I'E& paso de un auditor de SI es identificar: El primer paso y el m+s cr)tico en el proceso es identificar las +reas de alto riesgo dentro de la organiacin. Los gerentes del departamento de negocios y altos e$ecutivos est+n en las me$ores posiciones para ofrecer una opinin respecto a estas +reas. 3na ve que las +reas potenciales de implementacin !ayan sido identificadas, se deber)a realiar una evaluacin del impacto potencial para identificar las aplicaciones que proveen el I Los an+lisis de riesgos realiados por los auditores de SI son un factor cr)tico para la planeacin de la auditor)a. Se debe !acer un an+lisis del riesgo para proveer: La directri para la auditor)a de SI sobre la planeacin de la auditor)a de SI establece: =Se debe !acer un an+lisis de riesgo para proveer garant)a raonable de que se abarcaran adecuadamente los puntos materiales. Este an+lisis debe identificar +reas con riesgo relativamente alto de e#istencia de problemas materiales=. :arant)a suficiente de que se abarcaran los puntos materiales durante el traba$o de auditor)a es una proposicin I La funcin %&I'(&I( de un auditor de SI durante la fase de dise9o del sistema de un proyecto de desarrollo de aplicaciones es: La funcin del auditor de SI es asegurar que estn incluidos los controles requeridos. ( menos que est presente espec)ficamente como un consultor, el auditor de SI no deber)a participar en dise9os detallados. Durante la fase de dise9o, la funcin primaria del auditor de SI es asegurar que estn incluidos los controles. ( menos que !aya alg*n desv)o potencial que reportar, al auditor de SI no le concierne el control de proyecto en esta I En una auditor)a de SI de varios servidores cr)ticos, el auditor quiere analiar las pistas de auditor)a para descubrir potenciales anomal)as en el comportamiento de usuarios o del sistema. -.u+l de las !erramientas siguientes es la '+S adecuada para realiar esa tarea2 Las !erramientas de deteccin de tendencias 7varianas buscan anomal)as en el comportamiento de usuarios o del sistema, por e$emplo, determinando para los documentos prenumerados si los n*meros son secuenciales o incrementales. Las !erramientas .(SE se usan para asistir en el desarrollo de soft8are. El soft8are integrado de recoleccin de datos 0auditor)a1 se usa para tomar muestras y para proveer estad)sticas de produccin. Las I -.u+l de los siguientes podr)a ser usado por un auditor de SI para validar la efectividad de las rutinas de edicin y de validacin2 La prueba de integridad de dominio est+ dirigida a verificar que los datos se a$usten a las definiciones, i.e., los elementos de datos est+n todos en los dominios correctos. El ob$etivo principal de este e$ercicio es verificar que las rutinas de edicin y de validacin est+n funcionando de manera satisfactoria. Las pruebas de integridad relacional se realian a nivel del registro y por lo general implican calcular y verificar diversos campos I 3n auditor de SI !a evaluado los controles en busca de la integridad de los datos en una aplicacin financiera. -.u+l de los !allagos siguientes ser)a el '+S significativo2 Este es el !allago m+s significativo ya que afecta directamente la integridad de los datos de la aplicacin y es evidencia de un proceso inadecuado de control de cambios y los derec!os de acceso incorrectos al entorno de procesamiento. ( pesar de que las copias de respaldo slo una ve por semana es un !allago, ello no afecta la integridad de los datos en el sistema. La documentacin incompleta de desarrollo de la aplicacin no afecta la I 3n auditor de SI est+ evaluando una red corporativa en busca de una posible penetracin por parte de empleados internos. -.u+l de los !allagos siguientes deber)a preocupar '+S al auditor de SI2 El aprovec!amiento de un ID y contrase9a de usuario conocidos requiere m)nimos conocimientos tcnicos y e#pone los recursos de la red a la e#plotacin 0maliciosa 1. La barrera tcnica es ba$a y el impacto puede ser muy elevado4 por lo tanto, el !ec!o de que muc!os IDs de usuario tengan contrase9as idnticas representa la mayor amenaa. Los mdems e#ternos representan un riesgo de seguridad, pero la e#plotacin o aprovec!amiento a*n depende del uso de una cuenta v+lida de I En un servidor cr)tico, un auditor de SI descubre un caballo de 6roya que fue producido por un virus conocido que e#plota una vulnerabilidad de un sistema operativo. -.u+l de los siguientes deber)a !acer %&I'E&? un auditor2 La prioridad es salvaguardar el sistema4 por lo tanto, el auditor de SI deber)a sugerir controles correctivos, i.e., eliminar el cdigo. El auditor de SI no es responsable de investigar el virus. El auditor de SI puede analiar la informacin del virus y determinar si ste !a afectado el sistema operativo, pero esta es una tarea investigativa que tendr)a lugar despus de asegurarse que el cdigo malicioso !a sido eliminado. Instalar el I -.u+l de las siguientes es la venta$a %&I".I%(L de usar soft8are forense de computacin para las investigaciones2 El ob$etivo primario del soft8are forense es preservar la evidencia electrnica para satisfacer las reglas de evidencia. Los a!orros en tiempo y en costos, opcin ,, y la eficiencia y la eficacia, opcin ., son preocupaciones leg)timas y diferencian a los paquetes buenos de los paquetes deficientes de soft8are forense. La capacidad de investigar las violaciones de los derec!os de propiedad intelectual, opcin D, es un e$emplo de I 3n auditor de SI !a importado datos de la base de datos del cliente. El paso siguiente para confirmar si los datos importados est+n completos se lleva a cabo: .omparar los totales de control de los datos importados con los totales de control de los datos originales es el siguiente paso lgico, ya que esto confirma la integridad de los datos importados. "o es posible confirmar la totalidad 0completeness1 clasificando los datos importados, porque los datos originales pueden no estar en el orden de clasificacin. (dem+s la clasificacin no provee totales de control para verificar la totalidad I El vicepresidente de recursos !umanos !a solicitado una auditor)a para identificar los sobrepagos de planilla7nmina para el a9o anterior. -.u+l ser)a la 'E>?& tcnica de auditor)a para usar en esta situacin2 Las caracter)sticas del soft8are generaliado de auditor)a incluyen cmputos matem+ticos, estratificacin, an+lisis estad)stico, verificacin de secuencia, verificacin de duplicados y rec+lculos. El auditor de SI, usando soft8are generaliado de auditor)a, podr)a dise9ar pruebas apropiadas para recalcular la planilla7nmina y, de ese modo, determinar si !ubo sobrepagos, y a quines fueron efectuados. Los datos I Durante una auditor)a de seguridad de procesos de 6I, un auditor de SI encontr que no !ab)a procedimientos de seguridad documentados. El auditor de SI debe: 3no de los principales ob$etivos de una auditor)a es identificar los riesgos potenciales4 por lo tanto, el mtodo m+s proactivo ser)a identificar y evaluar las pr+cticas e#istentes de seguridad que la organiacin est+ siguiendo. 3n auditor de SI no debe preparar documentacin, y si lo !iciera, su independencia estar)a en peligro. Dar por terminada la auditor)a puede impedir que se logren los ob$etivos de la auditor)a, es I -.u+l de los siguientes es el '(F?& desaf)o al utiliar datos de prueba2 La eficacia de los datos de prueba est+ determinada por la e#tensin de la cobertura de todos los controles clave a ser probados. Si los datos de prueba no cubren todas las condiciones v+lidas y no v+lidas, !ay un riesgo de que la debilidad de control relevante pueda seguir sin ser detectada. Los cambios en el programa, por el per)odo cubierto por la auditor)a, pueden !aberse efectuado para depurar o para funcionalidades adicionales. I En el curso de la realiacin de un an+lisis de riesgo, un auditor de SI !a identificado amenaas e impactos potenciales. Inmediatamente despus, un auditor de SI debe: Es importante que un auditor de SI identifique y eval*e los controles y la seguridad e#istentes una ve que las amenaas potenciales y los impactos posibles est+n identificados. (l concluirse una auditor)a, un auditor de SI debe describir y discutir con la gerencia las amenaas y los impactos potenciales sobre los activos. I -.u+l de las siguientes debe ser la '(F?& preocupacin para un auditor de SI2 "o reportar una intrusin es equivalente a un auditor de SI que esconde una intrusin maliciosa, lo cual ser)a un error profesional. ( pesar de que puede requerirse la notificacin a la polic)a y que la falta de un e#amen peridico de derec!os de acceso podr)a ser una preocupacin, ellos no representan una preocupacin tan grande como la de de$ar de reportar un ataque. &eportar al p*blico no es un requisito y I Durante una revisin de los controles sobre el proceso de definir los niveles de servicios de 6I, un auditor de SI entrevistar)a '+S probablemente al: Entender los requerimientos del negocio es clave para definir los niveles de servicio. 'ientras que cada una de las otras entidades enumeradas puede suministrar alguna definicin la me$or eleccin aqu) es el gerente de unidad de negocio, debido a los amplios conocimientos que tiene esta persona sobre los requerimientos relacionados con la organiacin. I -.u+l de las siguientes opciones ser)a normalmente la evidencia '+S confiable para un auditor2 La evidencia obtenida de terceros independientes casi siempre es considerada la m+s confiable. Las respuestas ,, . y D no serian consideradas confiables. I -.u+l de los siguientes describe 'E>?& una prueba integrada 0integrated test facilityGmdas! 4I6@12 La respuesta ( describe me$or una prueba integrada 0integrated test facilityGmdas!4I6@1, que es un proceso de auditor)a especialiado asistido por computadora que permite que auditor de SI pruebe una aplicacin de manera continua. La respuesta , es un e$emplo de un arc!ivo de revisin de control de sistemas4 las respuestas . y D son e$emplos de instant+neas. I .uando se eval*a el efecto colectivo de los controles preventivos de deteccin o correctivos dentro de un proceso, un auditor de SI deber)a estar consciente: 3n auditor de SI deber)a concentrarse en cuando los controles son e$ercidos como flu$os de datos a travs del sistema de computadora. La opcin , es incorrecta ya que los controles correctivos pueden ser tambin relevantes. La opcin . es incorrecta ya que los controles correctivos eliminan o reducen los efectos de los errores o irregularidades y son considerados e#clusivamente como controles compensatorios. La opcin D es I 3n auditor de SI descubre evidencia de fraude perpetrado con la identificacin del usuario de un :erente. El gerente !ab)a escrito la contrase9a, asignada por el administrador del sistema, dentro del ca$n7 la gaveta de su escritorio. El auditor de SI deber)a concluir que el: Las debilidades de control de contrase9a significan que cualquiera de las otras tres opciones podr)a ser cierta. La seguridad de contrase9a identificar)a normalmente al perpetrador. En este caso, no establece culpa m+s all+ de la duda. I -5u tcnica de auditor)a provee la 'E>?& evidencia de la segregacin de funciones en un departamento de SI2 ?bservando el personal de SI cuando realia sus tareas, el auditor de SI puede identificar si ellos est+n realiando operaciones no compatibles y entrevistando el personal de SI el auditor puede obtener un panorama general de las tareas realiadas. ,asado en las observaciones y entrevistas, el auditor puede evaluar la segregacin de funciones. La gerencia no puede estar en conocimiento de las funciones detalladas de cada empleado en el departamento de SI, I Durante una revisin de un arc!ivo maestro de clientes, un auditor de SI descubri numerosas duplicaciones de nombre de cliente que surg)an de variaciones en los primeros nombres del cliente. %ara determinar la e#tensin de la duplicacin, el auditor de SI usar)a: .omo el nombre no es el mismo 0 debido a variaciones de los primeros nombres 1, un mtodo para detectar duplicaciones seria comparar otros campos comunes, como por e$emplo las direcciones F podr)a entonces seguidamente llevarse a cabo una revisin para determinar los nombres de los clientes en estas direcciones. ,uscar los n*meros de cuenta duplicados probablemente no !allar)a duplicaciones de nombres ya I -.u+l de las siguientes ser)a la 'E>?& poblacin de la cual tomar una muestra cuando un programa en pruebas cambia2 La me$or fuente de la cual e#traer cualquier e$emplo o prueba de un sistema de informacin es el sistema automatiado. Las bibliotecas de produccin representan e$ecutables que est+n aprobados y autoriados para procesar los datos de la organiacin. Los listados de programa fuente serian intensivos en el tiempo. Las solicitudes de cambio de programa son los documentos usados para iniciar el cambio. "o !ay ninguna garant)a de I 3na prueba integrada 0integrated test facilityGmdas!4I6@1 se considera una !erramienta *til de auditor)a porque: 3na facilidad de prueba integrada se considera una !erramienta *til de auditor)a porque usa los mismos programas para comparar el procesamiento usando datos calculados de manera independiente. Esto implica establecer entidades ficticias en un sistema de aplicacin y procesar datos de prueba o de produccin contra la entidad como un medio de verificar el procesamiento adecuado. I %ara identificar el valor del inventario que se !a guardado 0no !an rotado1 por m+s de oc!o semanas, lo '+S probable es que un auditor de SI utilice: El soft8are generaliado de auditor)a facilitara la revisin de todo el arc!ivo de inventario para buscar los rubros que cumplan los criterios de seleccin. El soft8are generaliado de auditor)a provee acceso directo a los datos y provee funciones de cmputo, estratificacin, etc. Los datos de prueba son usados para verificar programas, pero no confirmaran nada sobre las transacciones en cuestin. El uso de mtodos de muestreo estad)stico no I Los diagramas de flu$o de datos son usados por los (uditores de SI para: Los diagramas de flu$o de datos se usan como ayudas para graficar o diagramar el flu$o y almacenamiento de datos, con ellos se rastrean los datos desde su origen !asta su destino, resaltando las rutas y el almacenamiento de los datos. Los diagramas de flu$o no ordenan los datos en ning*n orden $er+rquico. El flu$o de los datos no coincidir+ necesariamente con ning*n orden $er+rquico o de generacin de datos. I -.u+l de las siguientes formas de evidencia para el auditor se considerar)a la '+S confiable2 La evidencia obtenida de fuentes e#ternas es por lo general m+s confiable que la obtenida desde dentro de la organiacin. Las cartas de confirmacin recibidas desde el e#terior, como por e$emplo las usadas para verificar los balances de cuentas por cobrar, son por lo general altamente confiables. La prueba realiada por un auditor no puede ser confiable si el auditor no tenia un buen entendimiento del +rea tcnica ba$o revisin. I 3n auditor de SI revisa un organigrama %&I'(&I('E"6E para: 3n organigrama provee informacin sobre las responsabilidades y la autoridad de personas en la organiacin. Esto ayuda al auditor de SI a saber si !ay una segregacin apropiada de funciones. 3n diagrama de flu$o de traba$o proporcionar)a informacin sobre las funciones de diferentes empleados. 3n diagrama de red proveer+ informacin sobre el uso de diversos canales de comunicacin e indicar+ la cone#in de los usuarios a la red. I 3n auditor de SI est+ efectuando una auditor)a de un sistema operativo de red. -.u+l de las siguientes es una funcin de usuario que el auditor de SI debe revisar2 Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en l)nea de documentacin de red. ?tras funciones ser)an el acceso del usuario a diversos recursos de anfitriones 0!osts1 de red, la autoriacin del usuario a tener acceso a recursos particulares y la red y las computadoras anfitrionas 0!osts1 a ser usadas sin acciones o comandos especiales de usuario. Las opciones ,, . y D son e$emplos de I -.u+l de los siguientes pasos realiar)a %&I'E&? un auditor de SI normalmente en una revisin de seguridad del centro de datos2 Durante la planeacin, el auditor de SI deber)a obtener una visin general de las funciones que est+n siendo auditadas y evaluar los riesgos de auditor)a y de negocios. Las opciones ( y D son parte del proceso de traba$o de campo de la auditor)a que ocurre posterior a esta planeacin y preparacin. La opcin . no es parte de una revisin de seguridad. I 3n (uditor de sistemas que trate de determinar si el acceso a la documentacin de programas est+ restringido a las personas autoriadas, lo '+S probable es que: %reguntar a los programadores sobre los procedimientos que se est+n siguiendo actualmente es *til para determinar si el acceso a la documentacin de programas est+ restringido a las personas autoriadas. Evaluar los planes de retencin de registros para almacenamiento fuera de las instalaciones pone a prueba los procedimientos de recuperacin, no el control de acceso a la documentacin de programas. %robar los I -.u+l de los siguientes es una venta$a de una prueba integrada 0I6@12 3na prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prueba simult+neamente con la entrada en vivo. Su venta$a es que las pruebas peridicas no requieren procesos separados de prueba. Sin embargo, es necesaria una planeacin cuidadosa y los datos de prueba deben ser aislados de los datos de produccin. I -.u+l de las siguientes !erramientas de auditor)a es la '+S importante para un auditor de SI cuando se requiere una pista de auditor)a2 3na !erramienta de instant+nea 0snaps!ot1 es m+s *til cuando se requiere una pista de auditor)a. I6@ puede usarse para incorporar transacciones de prueba en una corrida normal de produccin. .IS es *til cuando las transacciones que re*nen ciertos criterios necesitan ser e#aminadas. Los ganc!os de auditor)a son *tiles cuando slo se necesita e#aminar transacciones o procesos escogidos. I 3n auditor de SI eval*a los resultados de prueba de una modificacin a un sistema que trata con cmputo de pagos. El auditor encuentra que el <A B de los c+lculos no coinciden con los totales predeterminados. -.u+l de los siguientes es '+S probable que sea el siguiente paso en la auditor)a2 El auditor de SI deber)a luego e#aminar casos donde ocurrieron c+lculos incorrectos y confirmar los resultados. Despus de que los c+lculos !ayan sido confirmados, m+s pruebas pueden ser llevadas a cabo y revisadas. La preparacin de reportes, !allagos y recomendaciones no se !ar)a !asta que todos los resultados fueran confirmados. I El 'E>?& mtodo de probar la e#actitud de un sistema de c+lculo de impuestos es: %reparar transacciones simuladas para procesar y comparar los resultados con resultados predeterminados es el 'E>?& mtodo para probar la correccin de un c+lculo de impuestos. La revisin visual detallada, la creacin de diagramas de flu$o y el an+lisis de cdigo fuente no son mtodos efectivos, y los totales mensuales no resolver)an la e#actitud de c+lculos individuales de impuestos. I 3n auditor de SI que realia una revisin de los controles de aplicacin evaluar)a: 3n control de revisin de aplicaciones implica la evaluacin de los controles automatiados de la aplicacin y una evaluacin de cualesquiera e#posiciones resultantes de las debilidades del control. Las otras opciones pueden ser ob$etivos de una auditor)a de aplicacin pero no forman parte de una auditor)a restringida a una revisin de controles. I .uando comunican los resultados de auditor)a, los auditores de SI deben recordar que en *ltima instancia ellos son los responsables ante: El auditor de SI es en *ltima instancia responsable ante la alta gerencia y ante el comit de auditor)a de la $unta directiva. Incluso si el auditor de SI debe discutir los !allagos con el personal de gerencia de la entidad auditada 0opcin ,1, ello se !ace *nicamente para obtener acuerdo sobre los !allagos y para desarrollar un curso de accin correctiva. La opcin . es incorrecta porque el director de auditor)a de SI debe revisar el reporte I 3na accin correctiva !a sido tomada por un auditado inmediatamente despus de la identificacin de un !allago que deber)a ser reportado. El auditor debe: Incluir el !allago en el reporte final es una pr+ctica de auditor)a generalmente aceptada. Si se emprende una accin despus de que comen la auditor)a y antes de que terminara, el reporte de auditor)a debe identificar el !allago y describir la accin correctiva tomada. 3n reporte de auditor)a debe refle$ar la situacin, tal como sta e#ist)a en el comieno de la auditor)a. 6odas las acciones correctivas emprendidas por el auditado I Durante una revisin de implementacin de una aplicacin distribuida multiusuario, el auditor de SI encuentra debilidades menores en tres +reasGmdas!4La disposicin inicial de par+metros est+ instalada incorrectamente, se est+n usando contrase9as dbiles y algunos reportes vitales no se est+n verificando debidamente. 'ientras se prepara el informe de auditor)a, el auditor de SI Las debilidades individualmente son de menor importancia, sin embargo, $untas tienen el potencial de debilitar sustancialmente la estructura general de control. Las opciones ( y D refle$an una falla de parte del auditor de SI para reconocer el efecto combinado de la debilidad de control. (dvertir al gerente local sin reportar los !ec!os y observaciones ocultar)a los !allagos de los otras partes interesadas. I La funcin tradicional de un auditor de SI en una autoevaluacin de control 0control selfC assessmentGmdas!4.S(1 debe ser la de .uando se establecen los programas de .S(, los auditores de SI se convierten en profesionales de control interno y en facilitadores de evaluaciones. Los auditores de SI son los facilitadores y el cliente 0gerencia y personal1 es el participante en el proceso de .S(. Durante un taller de .S(, en ve de que el auditor de SI realice procedimientos detallados de auditor)a, deber)a conducir y orientar a los clientes para I 3n auditor de SI revisando la efectividad de los controles de 6I, encontr un informe de auditor)a anterior, sin documentos de traba$o. -.mo debe proceder el auditor de SI2 En ausencia de documentos de traba$o de auditor)a, un auditor de SI debe volver a probar los controles para ver su efectividad. Sin volver a probar el auditor no estar+ e$erciendo el debido cuidado profesional mientras realia la auditor)a. Los documentos de traba$o pueden ayudar al auditor a eliminar la necesidad de volver a probar4 sin embargo, el auditor debe estar preparado para volver a probar los controles. I .uando se est+ desarrollando una estrategia de auditor)a basada en el riesgo, un auditor de SI debe llevar a cabo una evaluacin del riesgo para asegurar que: %ara desarrollar una estrategia de auditor)a basada en el riesgo, es cr)tico que se entiendan los riesgos y vulnerabilidades. Esto determinar+ las +reas a ser auditadas y la e#tensin de la cobertura. Entender si los controles apropiados requeridos para mitigar los riesgos est+n instalados es un efecto resultante de una auditor)a. Los riesgos de auditor)a son aspectos in!erentes de la auditor)a, est+n directamente I En los casos en que !ay desacuerdo, durante una entrevista de salida, respecto al impacto de un !allago, el auditor de SI debe: Si los auditados no estuvieran de acuerdo con el impacto de un !allago, es importante que el auditor de SI elabore y aclare los riesgos y e#posiciones, ya que es posible que los auditados no aprecien totalmente la magnitud de la e#posicin. La meta debe ser e#plicar a los auditados o descubrir nueva informacin de que el auditor de SI puede no !aber estado en conocimiento. .ualquier cosa que pareca I El #ito de la autoevaluacin de control 0.S(1 depende en gran medida de: El ob$etivo primario de un programa de .S( es repaldar la funcin de auditor)a interna pasando algunas de las responsabilidades de monitoreo de control a los gerentes de l)nea del +rea funcional. El #ito de un programa de autoevaluacin de control 0.S(1 depende del grado en el que los gerentes de l)nea asumen la responsabilidad de los controles. Las opciones ,, . y D son caracter)sticas de un mtodo tradicional de I %ara asegurar que los recursos de auditor)a entreguen el me$or valor a la organiacin, el %&I'E& paso ser)a: 'onitorear el tiempo 0(1 y los programas de auditor)a 0D1, as) como tambin una capacitacin adecuada 0,1 me$orar+ la productividad del personal de auditor)a de SI 0eficiencia y desempe9o1, pero lo que entrega valor a la organiacin son los recursos y esfueros que se est+n dedicando y que est+n concentrados en las +reas de mayor riesgo. I En una auditor)a de una aplicacin de inventario, -qu mtodo proveer+ la 'E>?& evidencia de que las rdenes de compra son v+lidas2 %ara determinar la valide de la orden de compra, probar los controles de acceso proveer+ la me$or evidencia. Las opciones , y . est+n basadas en mtodos posteriores al !ec!o, y la opcin D no sirve al propsito porque lo que est+ en la documentacin del sistema puede no ser lo mismo que lo que est+ ocurriendo. I 3n auditor de SI debe usar muestreo estad)stico y no muestreo de $uicio 0no estad)stico1, cuando: Dada una tasa de error esperado y un nivel de confiana, el muestreo estad)stico es un mtodo ob$etivo de muestreo, que ayuda a un auditor de SI a determinar el tama9o de la muestra y a cuantificar la probabilidad de error 0coeficiente de confiana1. La opcin , es incorrecta porque el riesgo de muestreo es el riesgo de que una muestra no sea representativa de la poblacin. Este riesgo e#iste tanto para las muestras de I -.u+l de las siguientes tcnicas en l)nea es m+s efectiva para la deteccin temprana de errores o irregularidades2 La tcnica del ganc!o de auditor)a implica integrar cdigo en los sistemas de aplicacin para el e#amen de transacciones seleccionadas. Esto ayuda al auditor de SI a actuar ante un error o una irregularidad se sale de control. 3n modulo integrado de auditor)a implica integrar soft8are escrito especialmente en el sistema anfitrin de aplicacin de la organiacin para que los sistemas de aplicacin sean monitoreados de I .uando se eval*a el dise9o de los controles de monitoreo de red, un auditor de SI debe %&I'E&? revisar: El primer paso para evaluar los controles de monitoreo de la red debe ser la revisin de la adecuacin de documentacin de red, espec)ficamente los diagramas de topolog)a. Si esta informacin no est+ actualiada, entonces los procesos de monitoreo y la capacidad para diagnosticar los problemas no ser+n efectivos. I (l llevar a cabo una auditor)a, un auditor de SI detecta la presencia de un virus. -.u+l debe ser el siguiente paso del auditor de SI2 Lo primero que un auditor de SI debe !acer despus de detectar el virus es alertar sobre su presencia a la organiacin, luego esperar la respuesta de sta. La opcin ( se debe emprender despus de la opcin .. Esto permitir+ al auditor de SI e#aminar la funcionalidad y la efectividad del sistema de respuesta. El auditor de SI no debe !acer cambios al sistema que est+ siendo auditado, y asegurar la eliminacin del virus es una I Los riesgos asociados con recopilar evidencia electrnica es '+S probable que se reducan, en el caso de un eCmail, por una: .on una pol)tica de registros de eCmail bien arc!ivados, es posible el acceso a o la recuperacin de registros de eCmails espec)ficos, sin revelar otros registros de eCmail confidenciales. Las pol)ticas de seguridad y7o pol)ticas de auditor)a no resolver)an la eficiencia de recuperacin de registros, y destruir eCmails puede ser un acto ilegal. I -.u+l de los siguientes es el ob$etivo %&I'(&I? de un proceso de medicin de desempe9o7performancia de 6I2 3n proceso de medicin del desempe9o7performancia de 6I puede usarse para optimiar el desempe9o7performancia, medir y administrar productos 7servicios, asegurar la responsabilidad y tomar decisiones de presupuesto. 'inimiar errores es un aspecto del desempe9o7performancia, pero no es el ob$etivo primario de la administracin del I La venta$a de un mtodo de aba$o !acia arriba para el desarrollo de pol)ticas organiativas es que las pol)ticas: 3n mtodo de aba$o !acia arriba comiena por definir los requerimientos y pol)ticas de nivel operativo, que se derivan y se implementan como el resultado de evaluaciones de riesgo. Las pol)ticas a nivel de la empresa se desarrollan posteriormente con base en una s)ntesis de las pol)ticas operativas e#istentes. Las opciones (, . y D son venta$as de un mtodo de arriba !acia aba$o para desarrollar pol)ticas organiativas. Este mtodo asegura I %ara soportar las metas de una organiacin, el departamento de SI debe tener: %ara asegurar su contribucin a la realiacin de las metas generales de una organiacin, el departamento de SI debe tener planes de largo y corto plao que sean consistentes con los planes m+s amplios de la organiacin para alcanar sus metas. Las opciones ( y . son ob$etivos, y se necesitar)an planes para delinear cmo se alcanar)a cada uno de los ob$etivos. La opcin D podr)a ser parte del plan general pero se requerir)a I 3n comit de seguimiento de 6I revisar)a los sistemas de informacin %&I'(&I('E"6E para determinar: La funcin de un comit de seguimiento de 6I es asegurar que el departamento de SI est en armon)a con la misin y los ob$etivos de la organiacin. %ara asegurar esto, el comit debe determinar si los procesos de 6I soportan los requerimientos del negocio. (naliar la funcionalidad adicional propuesta, y evaluar tanto la estabilidad del soft8are como la comple$idad de la tecnolog)a, son aspectos demasiado estrec!os en I Desde una perspectiva de control, el elemento clave en las descripciones de traba$os es que: Desde una perspectiva de control, la descripcin de un traba$o debe establecer responsabilidad y deber de reportar7imputabilidad 0accountability1. Esto ayudar+ a asegurar que se d a los usuarios acceso al sistema en conformidad con las responsabilidades definidas de su traba$o. HbrIHbrILas otras opciones no est+n directamente relacionadas con los controles. %roveer instrucciones sobre cmo !acer el traba$o y definir I El efecto '+S probable de la falta de participacin de la alta gerencia en la planeacin estratgica de 6I es: Debe e#istir un comit de seguimiento para asegurar que las estrategias de 6I soporten las metas de la organiacin. La ausencia de un comit de tecnolog)a de informacin o un comit no compuesto de altos gerentes ser)a una indicacin de falta de participacin de la alta gerencia. Esta condicin aumentar)a el riesgo de que 6I no est a la altura de la estrategia de la organiacin. I -.u+l de lo siguiente proveer)a 'E>?& garant)a de la integridad del nuevo personal2 3na investigacin de los antecedentes es el mtodo primario para asegurar la integridad de un prospectivo miembro del personal. Las referencias son importantes y ser)a necesario verificarlas, pero no son tan fiables como la investigacin de los antecedentes. La fiana est+ referenciando al cumplimiento de la debida diligencia, no a la integridad, y las calificaciones7!abilidades indicadas en un rsum7curriculum I -.u+l de los siguientes es el '(F?& riesgo de la definicin de una pol)tica inadecuada para propiedad de datos y de sistemas2 Sin una pol)tica que defina quin tiene la responsabilidad de otorgar acceso a sistemas espec)ficos, !ay un mayor riesgo de que uno pueda obtener 0se le pueda dar a uno1 acceso al sistema cuando de !ec!o esa persona no deber)a tener autoriacin. La asignacin de autoridad para otorgar acceso a usuarios espec)ficos, implica una me$or probabilidad de que los ob$etivos del negocio ser+n debidamente respaldados. I El ob$etivo %&I'(&I? de una auditor)a de las pol)ticas de seguridad de 6I es asegurar que: La orientacin del negocio debe ser el tema principal al implementar la seguridad. %or ello, una auditor)a de las pol)ticas de seguridad de 6I debe primordialmente concentrarse en si las pol)ticas de seguridad y control de 6I y relacionadas respaldan los ob$etivos del negocio y de 6I. &evisar si las pol)ticas est+n disponibles para todos es un ob$etivo, pero la distribucin no asegura el cumplimiento. La I Los ob$etivos de control de 6I son *tiles para los auditores de SI, ya que ellos proveen la base para entender: 3n ob$etivo de control de 6I se define como la declaracin del resultado deseado o el propsito a ser alcanado implementando procedimientos de control en una actividad particular de 6I. Ellos proveen los ob$etivos verdaderos para implementar controles y pueden o no ser las me$ores pr+cticas. Las tcnicas son el medio de alcanar un ob$etivo, y una pol)tica de seguridad es un subcon$unto de ob$etivos de control de 6I. I (l revisar el plan de corto plao 0t+ctico1 de SI, el auditor de SI debe determinar si: La integracin de SI y del personal de negocios en los proyectos es un aspecto operativo y debe ser considerado mientras se revisa el plan de corto plao. 3n plan estratgico proveer)a un marco para el plan de corto plao de SI. Las opciones ,, . y D son +reas cubiertas por un plan estratgico. I -.u+l de los siguientes ser)a un control compensatorio para mitigar los riesgos resultantes de una segregacin inadecuada de funciones2 Las reconciliaciones de control de lote son un e$emplo de controles compensatorios. ?tros e$emplos de controles compensatorios son las bit+coras de transacciones, las pruebas de raonabilidad, las revisiones independientes y las pistas de auditor)a tales como bit+coras de consola, bit+coras de biblioteca y la fec!a de contabilidad del traba$o. Las verificaciones de secuencia y los d)gitos de verificacin son ediciones de I -.u+l de los siguientes es una funcin de un comit de direccin de SI2 El comit de direccin de SI t)picamente sirve como una $unta general de revisin para los principales proyectos de SI y no debe involucrarse en operaciones de rutina, por lo tanto, una de sus funciones es aprobar y monitorear los principales proyectos, la situacin de los planes y presupuestos de SI. El control de cambio de vendedor es un aspecto de outsourcing y debe ser monitoreado por la gerencia de SI. (segurar una separacin I La velocidad de cambio de la tecnolog)a aumenta la importancia de: El cambio requiere que se implementen y e$ecuten buenos procesos de administracin de cambios. Dacer un outsourcing a la funcin de SI no est+ directamente relacionado con la velocidad de cambio tecnolgico. El personal en un departamento t)pico de SI est+ altamente calificado y educado, por lo general no siente que sus puestos de traba$o estn en riesgo y est+n preparados para cambiar de traba$o con frecuencia. I 3na organiacin que adquiere otros negocios contin*a sus sistemas !eredados de EDI, y usa tres proveedores separados de red de valor agregado 0E("1. "o e#iste ning*n acuerdo escrito de E(". El auditor de SI debe recomendar a la gerencia que: Los acuerdos escritos asistir)an a la gerencia a asegurar el cumplimiento de los requerimientos e#ternos. 'ientras que la gerencia debe obtener garant)a independiente de cumplimiento, ello no se puede lograr !asta que e#ista un contrato. 3n aspecto de administrar servicios de terceros es proveer monitoreo, sin embargo, esto no se puede lograr !asta que e#ista un contrato. (segurar que se disponga de acuerdos de I -.u+l de los siguientes reportes debe utiliar un auditor para verificar el cumplimiento de un requerimiento de acuerdo de nivel de servicio 0SL(1 para tiempo productivo 2 La inactividad de SI como por e$emplo el tiempo improductivo, es tratada por los reportes de disponibilidad. Estos reportes proveen los per)odos de tiempo durante los cuales la computadora estuvo disponible para ser utiliada por los usuarios o por otros procesos. Los reportes de utiliacin documentan el uso de equipos de computadora, y pueden ser usados por la gerencia para predecir cmo 7dnde 7cu+ndo se requieren I La implementacin de controles eficientes en costos en un sistema automatiado es en *ltima instancia responsabilidad de: Es responsabilidad de la gerencia de unidad de negocio implementar controles eficientes en costos en un sistema automatiado. Ellos son el me$or grupo en una organiacin que sabe qu activos de informacin necesitan ser asegurados en trminos de disponibilidad, confidencialidad e integridad. Los administradores de sistemas se ocupan de los servicios relacionados con los requerimientos del sistema del I 3n auditor de SI encuentra que no todos los empleados tienen conocimiento de la pol)tica de seguridad de informacin de la empresa. El auditor de SI debe concluir que: 6odos los empleados deben tener conocimiento de la pol)tica de seguridad de la empresa para prevenir la revelacin no intencional de informacin sensitiva. La capacitacin es un control preventivo. Los programas de concientiacin de la seguridad para los empleados puede prevenir la revelacin no intencional de informacin sensitiva a personas a$enas. I 3n auditor de SI revisa un organigrama %&I'(&I('E"6E para: 3n organigrama provee informacin sobre las responsabilidades y la autoridad de personas en la organiacin. Esto ayuda al auditor de SI a saber si !ay una segregacin apropiada de funciones. 3n diagrama de flu$o de traba$o proporcionar)a informacin sobre las funciones de diferentes empleados. 3n diagrama de red proveer+ informacin sobre el uso de diversos canales de comunicacin e indicar+ la cone#in de los usuarios a la red. I -.u+l de las siguientes funciones debe ser realiada por los due9os de aplicacin para asegurar una segregacin adecuada de tareas entre SI y los usuarios finales2 El due9o de aplicacin es responsable de autoriar el acceso a los datos. El desarrollo y programacin de aplicaciones son funciones del departamento de SI. En forma similar, el an+lisis de sistemas debe ser efectuado por personas calificadas de SI que tengan conocimientos de SI y de los requerimientos del usuario. La administracin de datos es una funcin especialiada relacionada con los sistemas de administracin I .uando un empleado es despedido de su servicio, la accin '+S importante es: E#iste una probabilidad de que un empleado despedido pueda !acer mal uso de los derec!os de acceso, por lo tanto, in!abilitar el acceso lgico de un empleado terminado es la accin m+s importante que se debe emprender. 6odo el traba$o del empleado terminado necesita ser entregado a un empleado designado, sin embargo, esto debe efectuarse despus de implementar la opcin D. Se debe !acer copia de respaldo I -5u es lo que un auditor de sistemas considerar)a '+S relevante para la planificacin de corto plao para el departamento de IS2 El departamento de IS debe considerar espec)ficamente la forma en que se asignan los recursos en el corto plao. Las inversiones en 6I necesitan estar alineadas con las estrategias principales de la administracin, en lugar de concentrarse en la tecnolog)a por la tecnolog)a en s) misma. Llevar a cabo estudios de auto evaluacin de control y evaluar las necesidades de !ard8are no es tan cr)tico como asignar los recursos I -.u+l de las metas siguientes esperar)a usted encontrar en el plan estratgico de una organiacin2 La planeacin estratgica pone en movimiento ob$etivos corporativos o departamentales. La planeacin compre!ensiva ayuda a asegurar una organiacin efectiva y eficiente. La planeacin estratgica est+ orientada al tiempo y a los proyectos, pero tambin debe resolver y ayudar a determinar prioridades para satisfacer las necesidades del negocio. Los planes de largo y corto plao deber)an ser consistentes con los planes I El paso inicial para establecer un programa de seguridad de informacin es: 3na declaracin de pol)tica refle$a la intencin y el respaldo brindado por la gerencia e$ecutiva para una seguridad apropiada y establece un punto de inicio para desarrollar el programa de seguridad. I -.u+l de los siguientes se encontrar)a normalmente en los manuales e$ecucin de aplicaciones2 Los manuales de e$ecucin de aplicaciones deber)an incluir acciones que deben ser emprendidas por un operador cuando ocurre un error. Los documentos fuente y el cdigo fuente son irrelevantes para el operador. ( pesar de que los diagramas de flu$o de datos pueden ser *tiles, los diagramas detallados de programa y las definiciones de arc!ivo no lo son. I De las funciones siguientes, -cu+l es la funcin '+S importante que debe realiar la administracin de 6I cuando se !a dado un servicio para realiarse por outsourcing2 En un ambiente de outsourcing, la compa9)a depende del desempe9o del proveedor del servicio. %or esta ran, es cr)tico que se monitoree el desempe9o del proveedor de outsourcing para asegurar que ste preste a la compa9)a los servicios que se requieran. El pago de las facturas es una funcin financiera que se !ar)a por requerimientos contractuales. %articipar en el dise9o de sistemas es un subproducto del monitoreo del I -.u+l de las siguientes funciones ser)a una preocupacin si se efectuara $unto con administracin de sistemas2 3n administrador de sistema realia diversas funciones usando el admin7ra) o un login equivalente. Este login permite al administrador de sistema tener un acceso ilimitado a los recursos del sistema. El *nico control sobre las actividades del administrador de sistema es la pista de auditor)a del sistema, es por eso que sta deber)a ser revisada por otro que no sea el administrador de sistema. El mantenimiento de las reglas de acceso, las I JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJ El establecimiento de per)odos contables es una de las actividades cr)ticas de la funcin de finanas. ?torgar acceso a esta funcin al personal en el almacn y en el ingreso de rdenes podr)a ser a causa de una falta de pol)ticas y procedimientos apropiados para la segregacin adecuada de funciones. Los per)odos contables no deber)an ser cambiados a intervalos regulares, sino que se deber)an establecer de manera permanente. El I -.u+l de los siguientes procedimientos detectar)a en forma '+S efectiva la carga de paquetes de soft8are ilegal a una red2 La verificacin peridica de los discos duros ser)a el mtodo m+s efectivo de identificar los paquetes de soft8are ilegal cargados a la red. El soft8are antivirus no identificar+ necesariamente el soft8are ilegal a menos que el soft8are contenga un virus. Las estaciones de traba$o sin disco duro act*an como un control preventivo y no son efectivas ya que los usuarios podr)a a*n as) cargar soft8are desde otras estaciones de I .uando se !a dise9ado una pol)tica de seguridad de informacin, lo '+S importante es que la pol)tica de seguridad de informacin sea: %ara ser efectiva, una pol)tica de seguridad de informacin deber)a llegar a todos los miembros del personal. (lmacenar la pol)tica de seguridad fuera del sitio o en un lugar seguro puede ser aconse$able pero de poco valor si su contenido no es conocido por los empleados de la organiacin. La pol)tica de seguridad de informacin deber)a ser escrita por los gerentes de unidad de negocios incluyendo SI, pero no I La responsabilidad de rendir cuentas del mantenimiento de medidas de seguridad apropiadas sobre los activos de informacin reside en: La gerencia deber)a asegurar que todos los activos de informacin 0datos y sistemas1 tengan un propietario designado que tome las decisiones sobre clasificacin y derec!os de acceso. Los propietarios de sistema t)picamente delegan la custodia cotidiana al grupo de entrega 7operaciones de sistemas y las responsabilidades de seguridad a un administrador de seguridad. Los propietarios, sin embargo, siguen estando I JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJ Es imperativo que se establecan procedimientos formales escritos de aprobacin para establecer la responsabilidad de rendir cuenta. Esto es verdad tanto para los niveles del gerente de SI como para los niveles superiores de la gerencia. Las opciones (, . y D ser)a recomendaciones subsiguientes una ve que se !aya establecido la autoridad. I La responsabilidad y las l)neas de reporte no pueden siempre ser establecidas cuando se auditan sistemas automatiados ya que: ( causa de la naturalea diversificada tanto de datos como de sistemas de aplicacin, puede ser dif)cil establecer el verdadero propietario de los datos y de las aplicaciones. I -.u+l de los siguientes considerar)a un auditor de SI que es '+S importante cuando se eval*a la estrategia de una organiacin2 5ue: La planeacin estratgica pone en movimiento ob$etivos corporativos o departamentales 6anto los planes estratgicos a largo plao como a corto plao deber)an ser consistentes con los planes m+s amplios de la organiacin y los ob$etivos del negocio para alcanar estas metas. La respuesta ( es incorrecta ya que la gerencia de l)nea prepar los planes. I 3n administrador de datos es responsable de: 3n administrador de datos es responsable de definir los elementos de datos, nombres de datos, y su relacin. Las opciones (, . y D son funciones de un administrador de base de datos administrador de base de datos 0D,(1. I El desarrollo de una pol)tica de seguridad de SI es resposabilidad de: ( diferencia de otras pol)ticas corporativas, el marco de la pol)tica de seguridad de sistemas es responsabilidad de la direccin general, la $unta directiva. El departamento de SI es responsable de la e$ecucin de la pol)tica, no teniendo ninguna autoridad en el enmarcado de la pol)tica. El comit de seguridad tambin funciona dentro de la amplia pol)tica de seguridad definida por la $unta directiva. El administrador de la I -.u+l de los siguientes programas es '+S probable que una pol)tica sana de seguridad de informacin incluir)a, para mane$ar las intrusiones sospec!osas2 3na pol)tica sana de seguridad de SI es m+s probable que esboce un programa de respuesta para mane$ar las intrusiones sospec!osas. Los programas de correccin, deteccin y monitoreo son todos aspectos de seguridad de informacin, pero probablemente no ser+n incluidos en una declaracin de pol)tica de seguridad de SI. I -.u+l de lo siguiente proveer)a un mecanismo por el cual la gerencia de SI puede determinar cu+ndo, y si, las actividades de la empresa se !an desviado de los niveles planeados, o de los esperados2 Los mtodos de an+lisis proveen un mecanismo, por el cual la gerencia de SI puede determinar cu+ndo y si las actividades de la organiacin se !an desviado de los niveles planeados o de los esperados. Estos mtodos incluyen los presupuestos de SI, la planeacin de la capacidad y del crecimiento, los est+ndares 7puntos de referencia de la industria, las pr+cticas de gerencia financiera y el logro de las metas. La gerencia de I -.u+l de las siguientes situaciones aumentar)a la probabilidad de fraude2 Los programas de produccin se usan para procesar los datos reales y corrientes de la empresa. Es imperativo asegurar que los controles de los cambios a los programas de produccin sean tan estrictos como para los programas originales. La falta de control en esta +rea podr)a tener como resultado que los programas de aplicacin sean modificados de manera que manipulen los datos. ( los programadores de aplicaciones se les I JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJ La primera y m+s importante responsabilidad del auditor de SI es advertir a la alta gerencia sobre el riesgo que implica !acer que el administrador de seguridad realice una funcin de operaciones. Esta es una violacin de la separacin de funciones. El auditor de SI no deber)a participar en el procesamiento. I 'uc!as organiaciones requieren que todos los empleados toman una vacacin obligatoria de una semana o m+s para: Las vacaciones requeridas de una semana o m+s de duracin en la que alguien que no sea el empleado regular realice la funcin del puesto de traba$o es a menudo obligatoria para las posiciones importantes. Esto reduce la oportunidad de cometer actos indebidos o ilegales, y durante este tiempo puede ser posible descubrir cualquier actividad fraudulenta que estuviera ocurriendo. Las opciones (, . y D I El grupo de garant)a de calidad 0quality assurance1 es t)picamente responsable de: El grupo de garant)a de calidad es t)picamente responsable de asegurar que los programas, cambios de programas y documentacin se ad!ieran a las normas establecidas. La opcin ( es la responsabilidad del grupo de control de datos, la opcin , es responsabilidad de operaciones de computadora, y la opcin D es responsabilidad de responsabilidad de datos. I -.u+l de las siguientes es la 'E>?& forma de mane$ar cintas magnticas obsoletas antes de disponer de ellas2 La me$or forma de mane$ar las cintas magnticas obsoletas es desmagnetiarlas, porque esta accin impide la divulgacin no autoriada o accidental de informacin, y tambin impide que las cintas obsoletas vuelvan a ser utiliadas. Sobrescribir o borrar las cintas puede ocasionar errores magnticos 0considerar que son obsoletas1, in!ibiendo as) la integridad de datos. Inicialiar las etiquetas de cintas podr)a I 3n comit de direccin de SI debe: Es importante llevar las actas detalladas de los comits de direccin para documentar las decisiones y las actividades del comit de direccin de SI, y la $unta directiva debe ser informada a su debido tiempo. La opcin ( es incorrecta porque slo la gerencia principal o los niveles altos del personal deben ser miembros de este comit debido a su misin estratgica. La opcin , no es una responsabilidad de este comit I 3n administrador de base de datos es responsable de: 3n administrador de base de datos es responsable de crear y controlar la base de datos lgica y f)sica. Definir la propiedad de datos recae en el $efe del departamento de usuario o en la alta gerencia si los datos son comunes para la organiacin. La gerencia de SI y el administrador de datos son responsables de establecer normas operativas para el diccionario de datos. Establecer reglas b+sicas para asegurar la integridad y la I La participacin de la alta gerencia es '+S importante en el desarrollo de: Los planes estratgicos proveen la base para asegurar que la empresa cumpla sus metas y ob$etivos. La participacin de la alta gerencia es cr)tica para asegurar que el plan logra de manera adecuada las metas y ob$etivos establecidos. Las pol)ticas de SI, procedimientos, normas y lineamientos est+n todos estructurados para soportar el plan estratgico general. I -.u+l de los siguientes controles de ingreso de datos provee la '(F?& garant)a de que los datos ingresados no contienen errores2 La verificacin de llave o verificacin uno a uno rendir+ el grado m+s alto de confiana de que los datos ingresados est+n libres de error. Sin embargo, esto podr)a ser impr+ctico para grandes cantidades de datos. La segregacin de funciones de ingreso de datos proveniente de la verificacin de ingreso de datos es un control adicional de ingreso de datos. 'antener una bit+cora 7registro detallando el tiempo, fec!a, iniciales del empleado I 3n administrador de L(" estar)a normalmente restringido de: 3n administrador de L(" no deber)a tener responsabilidades de programacin pero puede tener responsabilidades de usuario final. El administrador de L(" puede reportarse al director de la I%@ o, en una operacin descentraliada, al gerente de usuario final. En las organiaciones peque9as, el administrador de L(" puede tambin ser responsable de la administracin de seguridad del L(". I 3n auditor de SI est+ revisando la funcin de administracin de base de datos para determinar si se !a !ec!o la disposicin adecuada para controlar los datos. El auditor de SI deber)a determinar que: El auditor de SI deber)a determinar que las responsabilidades de la funcin de administracin de base de datos no slo est+n bien definidas sino tambin garantian que el administrador de base de datos 0D,(1 se reporte directamente al gerente de SI o al e$ecutivo para proveer independencia, autoridad y responsabilidad. El D,( no debe reportarse ni a la gerencia de procesamiento de operaciones de datos ni a la I JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJ La independencia deber)a ser constantemente evaluada por el auditor y la gerencia. Esta evaluacin deber)a considerar factores tales como las relaciones personales, los intereses financieros y previas asignaciones y responsabilidades del puesto de traba$o. El !ec!o que el empleado !aya traba$ado en SI por muc!os a9os no puede por s) mismo asegurar la credibilidad. Las necesidades del departamento de auditor)a deber)an ser I -Es apropiado que un auditor de SI de una compa9)a que est+ considerando !acer outsourcing de su procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada proveedor2 La responsabilidad primaria del auditor de SI es asegurar que los activos de la compa9)a estn siendo salvaguardados. Esto es verdad incluso si los activos no residen en las premisas inmediatas. Las oficinas prestigiosas de servicio tendr+n un plan de continuidad de negocio bien dise9ado y probado. I 3na probable venta$a para una organiacin que !a efectuado outsourcing a su procesamiento de servicios de datos es que: ?utsourcing es un acuerdo contractual por el cual la organiacin entrega el control sobre una parte o sobre la totalidad del procesamiento de informacin a una parte e#terna. Esto se !ace con frecuencia para adquirir recursos o e#periencia adicionales que no se obtiene desde el interior de la organiacin. I 3n auditor de SI deber)a preocuparse cuando un analista de telecomunicacin: Las responsabilidades de un analista de telecomunicaciones incluyen requerimientos de carga de red en trminos de vol*menes corrientes y futuros de transacciones 0opcin ,1, evaluar el impacto de la carga de red o los tiempos de respuesta de las terminales y las velocidades de transferencia de datos de red 0opcin .1 y recomendar procedimientos y me$oras de balanceo de red 0opcin D1. 'onitorear el desempe9o I -.u+l de los siguientes es un control sobre las actividades de administracin de base de datos2 %ara asegurar la aprobacin de la gerencia de las actividades de administracin de base de datos y para e$ercer control sobre la utiliacin de !erramientas de base de datos, deber)a !aber una revisin de supervisin de los registros de acceso. Las actividades de administracin de base de datos incluyen entre otras, puntos de verificacin de base de datos, tcnicas de compresin de base de datos, y procedimientos de respaldo y I 3n auditor de SI que revisa un contrato de outsourcing de las instalaciones de 6I esperar)a que ste defina: De las opciones, el !ard8are y el control de acceso de soft8are generalmente es irrelevante mientras la funcionalidad, disponibilidad y seguridad puedan ser afectadas, lo cual ser)a una obligacin contractual espec)fica. De manera similar, la metodolog)a de desarrollo no deber)a de real preocupacin. El contrato debe, sin embargo, especificar quin es el due9o de la propiedad intelectual 0i.e., la informacin que est+ I -.u+l de las siguientes funciones representar)a un riesgo si se combinara con la de un analista de sistemas, debido a la falta de controles compensatorios2 3n analista de sistemas no debe realiar tareas de garant)a de calidad 05(, siglas de los trminos en ingls1 ya que podr)a obstaculiar la independencia, debido a que el analista de sistemas es parte del equipo que desarrolla 7dise9a el soft8are. 3n analista de sistemas puede realiar las otras funciones. El me$or e$emplo es un Gquot4programador ciudadanoGquot 4. 3n programador ciudadano 0nombre relacionado con I 3n auditor de SI que revisa el plan estratgico de 6I de una organiacin deber)a %&I'E&? revisar: El plan estratgico de 6I e#iste para respaldar el plan de negocios de la organiacin. %ara evaluar el plan estratgico de 6I, el auditor de SI necesitar)a primero familiariarse con el plan de negocios. I En una organiacin peque9a, un empleado realia operaciones de computadora y, cuando la situacin lo e#ige, programa modificaciones. -.u+l de lo siguiente deber)a recomendar el auditor de SI2 'ientras que se preferir)a que la estricta separacin de funciones se cumpliera y que se reclutara personal adicional, como se sugiere en la ?pcin ,, esta pr+ctica no es siempre posible en las organiaciones peque9as. El auditor de SI debe buscar procesos alternativos recomendados. De las opciones, . es la *nica posible que tiene un impacto. El auditor de SI deber)a recomendar procesos que detecten los cambios a la I -.u+l de los siguientes ser)a incluido en la pol)tica de seguridad de SI de una organiacin2 La pol)tica de seguridad provee la estructura amplia de la seguridad, como !a sido dispuesta y aprobada por la alta gerencia. Incluye una definicin de las personas autoriadas para otorgar acceso y la base para otorgarlo. Las opciones (, , y . est+n m+s detalladas que lo que deber)a incluirse en una pol)tica. I 3na pol)tica e#!austiva y efectiva de correo electrnico deber)a resolver los problemas de estructura de correo electrnico, e$ecucin de pol)ticas, monitoreo y: (dem+s de ser una buena pr+ctica, las leyes y regulaciones pueden requerir que una organiacin mantenga informacin que tenga un impacto en los estados financieros. La prevalencia de demandas en las que la comunicacin de correo electrnico es mantenida en el mismo sentido que el formulario oficial de cl+sico Gquot4documentoGquot4 !ace de la retencin de correspondencia electrnica una necesidad. 6odo el correo I 3na organiacin !a !ec!o un outsourcing de su desarrollo de soft8are. -.u+l de los siguientes es responsabilidad de la gerencia de 6I de la organiacin2 (dministrar7:estionar activamente el cumplimiento de los trminos del contrato para los servicios e#ternaliados 0outsourced1 es responsabilidad de la gerencia de 6I. El pago de facturas es una responsabilidad de finanas. La negociacin del acuerdo contractual ya !abr)a ocurrido y por lo general es una responsabilidad compartida del departamento legal y de otros departamentos, como por e$emplo 6I. I En una organiacin donde se !a definido una l)nea base 0baseline1 de seguridad de 6I el auditor de SI debe %&I'E&? asegurar: El auditor debe primero evaluar la definicin del nivel m)nimo de l)nea base para asegurar la idoneidad de los controles. La documentacin, la implementacin y el cumplimiento son otros pasos adicionales. I Las operaciones de 6I para una gran organiacin !an sido e#ternaliadas 0outsourced1. -3n auditor de SI que revisa la operacin e#ternaliada debe estar '+S preocupado por cu+l de los !allagos siguientes2 La falta de una provisin de recuperacin de desastre presenta un riesgo importante de negocio. Incorporar una disposicin de este tipo en el contrato proporcionar+ a la organiacin que realia el Gquot4outsourcingGquot4 una influencia sobre el proveedor de servicio. Las opciones ,, . y D son problemas que deben ser resueltos por el proveedor de servicio, pero no son tan importantes como los I JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJJ 'over los servidores puede ocasionar una interrupcin del negocio y debe posponerse !asta que la recuperacin de desastre sea incluida en el contrato de outsourcing. Las opciones (, . y D deben considerarse durante el desarrollo de las provisiones viables de recuperacin de desastre y despus que el traslado de servidores sea pospuesto. I De los siguientes, -qu es lo '+S importante cuando se eval*an los servicios prestados por un proveedor de servicios de Internet 0IS%12 3n contrato de nivel de servicio provee la base para una evaluacin adecuada del grado en el que el proveedor est+ satisfaciendo el nivel de servicio acordado. Las opciones (, . y D no ser)an la base para una evaluacin independiente del servicio. I La implementacin de controles de acceso requiere %&I'E&?: El primer paso para implementar un control de accesos es un inventario de los recursos de SI, que es la base para la clasificacin. El etiquetado de los recursos no puede !acerse sin primero determinar las clasificaciones de los recursos. La lista de control de accesos 0(.L1 no se !ar)a sin una clasificacin co!erente de los recursos. I 3n auditor de SI que realia una revisin de los controles generales de las pr+cticas de gerencia de SI relativas al personal deber)a prestar particular atencin a: .uando se realia una revisin de los controles generales es importante que un auditor de SI preste atencin al tema de la segregacin de funciones, que est+ afectada por pr+cticas de vacaciones 7feriados. Las pol)ticas y el cumplimiento de vacaciones obligatorias puede variar dependiendo del pa)s y de la industria. Las clasificaciones del personal y las pol)ticas de compensaciones $ustas puede ser una problema moral, no I -3n auditor de SI deber)a esperar que cu+l de los siguientes elementos sean incluidos en la solicitud de propuesta 0&@%1 cuando SI est+ adquiriendo servicios de un proveedor de servicios independiente 0IS%12 El auditor de SI deber)a buscar una verificacin independiente que el IS% pueda realiar las tareas que est+n siendo contratadas. Las referencias de otros clientes proveer)an una revisin y verificacin independiente, e#terna, de procedimientos y procesos que sigue el IS% Gndas!4 aspectos que ser)an de preocupacin para el auditor de SI. Eerificar las referencias es un medio de obtener una verificacin I .uando se revisan las estrategias de SI, el auditor de SI puede determinar 'E>?& si la estrategia de SI soporta los ob$etivos de negocio de las organiaciones determinando si SI: Determinar si el plan de SI es consistente con la estrategia de la gerencia relaciona la planificacin de SI76I con los planes del negocio. Las opciones (, . y D son mtodos efectivos para determinar si los planes de SI est+n en armon)a con los ob$etivos del negocio y con las estrategias de la organiacin. I %ara asegurar que una organiacin est+ cumpliendo con los requerimientos de privacidad, el auditor de SI deber)a %&I'E&? revisar: %ara asegurar que la organiacin est cumpliendo con los aspectos de privacidad, un auditor de SI deber)a tratar primero los requisitos legales y regulatorios. %ara cumplir con los requisitos legales y regulatorios, las organiaciones necesitan adoptar la infraestructura apropiada. Despus de entender los requisitos legales y regulatorios, el auditor de SI deber)a evaluar las pol)ticas, est+ndares y procedimientos II 3na compa9)a est+ implementando un protocolo din+mico de configuracin de anfitrin 0Dynamic Dost .onfiguration %rotocolCDD.%1. Dado que e#isten las siguientes condiciones, -cu+l representa la '(F?& preocupacin2 Dado el acceso f)sico a un puerto, cualquiera puede conectarse a la red interna. Las otras opciones no presentan la e#posicin que presenta el acceso a un puerto. DD.% provee conveniencia 0una venta$a1 para los usuarios de laptop. .ompartir las direcciones de I% y la e#istencia de un fire8all pueden ser medidas de seguridad. II JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJ En un gate8ay K(%, los mensa$es encriptados7cifrados provenientes de los clientes deben ser desencriptados7descifrados para transmitir a la Internet y viceversa. %or lo tanto, si el gate8ay es afectado, todos los mensa$es estar)an e#puestos. SSL protege los mensa$es de sniffing en la Internet, limitando la revelacin de la informacin del cliente. K6LS provee autenticacin, privacidad e integridad e impide II %ara ma#imiar el desempe9o 0performance1 de una base de datos grande en un ambiente paralelo de procesamiento, -cu+l de los siguientes se usa para separar los )ndices2 3na parte esencial de dise9ar una base de datos para procesamiento paralelo es el esquema de divisin 0partitioning1. .omo las grandes bases de datos est+n inde#adas, los indices independientes deben tambin estar divididos para ma#imiar el desempe9o7performancia. Das!ing es un mtodo usado para dividir )ndices. ste asocia los datos con los discos, basado en una clave !as!. La divisin7particin de discos crea II -.u+l de los siguientes impedir+ tuplas colgantes 0dangling tuples1 en una base de datos2 La integridad de referencia asegura que una llave7clave e#tra9a en una tabla sea igual a cero o al valor de una primaria en la otra tabla. %or cada tupla en una tabla que tenga una clave referenciada 7e#tra9a, debe !aber una tupla correspondiente en otra tabla, es decir, por la e#istencia de todas las claves e#tra9as en las tablas originales. Si esta condicin no fuera satisfec!a, entonces el resultado ser)a una tupla suspendida. La II -.u+l de los siguientes reduce 'E>?& la capacidad de un dispositivo de capturar los paquetes que est+n destinados a otro dispositivo2 Los s8itc!es est+n en el nivel m+s ba$o de seguridad de red y transmiten un paquete al dispositivo al que est+ dirigido. Esto reduce la capacidad de un dispositivo de capturar los paquetes que est+n destinados a otro dispositivo. Los filtros permiten cierto aislamiento b+sico de tr+fico de red basado en las direcciones de destino. Los routers permiten que a los paquetes se les permita o se les niegue acceso basado en las II El ob$etivo de control de concurrencia en un sistema de base de datos es: Los controles de concurrencia impiden problemas de integridad de datos, que pueden surgir cuando dos procesos de actualiacin acceden al mismo elemento de dato al mismo tiempo. Los controles de acceso restringen la actualiacin de la base de datos a los usuarios autoriados4 y a los controles, por e$emplo, las contrase9as impiden la revelacin inadvertida o no autoriada de datos de la base de datos. Los controles II En un sistema de administracin de base de datos 0D,'S1 la ubicacin de los datos y el mtodo de tener acceso a los datos es provista por: 3n sistema de directorio describe la ubicacin de los datos y el mtodo de acceso. 3n diccionario de datos contiene un )ndice y la descripcin de todos los elementos almacenados en la base de datos. Los metadatos 0Ldatos sobre datosL1 son los elementos de datos requeridos para definir un almacn de datos a nivel de toda la empresa. El procesador de lengua$e de definicin de datos permite al administrador de base de datos 0D,(1 II En un sistema clienteCservidor, -cu+l de las siguientes tcnicas de control se usa para inspeccionar la actividad de los usuarios conocidos o desconocidos2 Los dispositivos de monitoreo de red pueden usarse para inspeccionar actividades de usuarios conocidos o desconocidos y pueden identificar direcciones de clientes, que pueden asistir en encontrar evidencia de acceso no autoriado. Esto sirve como un control de deteccin. Las estaciones de traba$o sin disco impiden que el soft8are de control de acceso sea evadido. Las tcnicas de encripcin7cifra de datos pueden ayudar a II 3n beneficio de .alidad de Servicio 05oS1 es que: La principal funcin de 5oS es optimiar el desempe9o7performancia de la red asignando prioridad a las aplicaciones del negocio y a los usuarios finales a travs de la asignacin de partes dedicadas del anc!o de banda a tr+fico espec)fico. La opcin ( no es cierta porque la comunicacin misma no me$orar+, sino que la velocidad de intercambio de datos podr)a ser m+s alta. La disponibilidad no me$orar+. Las II .uando se revisan los par+metros del sistema, la %&I".I%(L preocupacin de un auditor de SI, deber)a ser que: La principal preocupacin es encontrar el balance entre seguridad y desempe9o7performancia. &egistrar los cambios en una pista de auditor)a y revisarla peridicamente es un control de deteccin4 sin embargo, si no se establecen los par+metros conforme a reglas del negocio, es posible que el monitoreo de cambios no sea un control efectivo. &evisar los cambios para asegurar que estn respaldados por documentos apropiados, II El '(F?& riesgo cuando los usuarios finales tienen acceso a una base de datos al nivel de su sistema, en lugar de a travs de la aplicacin, es que los usuarios pueden: 6ener acceso a la base de datos podr)a proveer acceso a las utiler)as de la base de datos, lo cual puede actualiar la base de datos sin una pista de auditor)a y sin usar la aplicacin. El utiliar S5L, slo provee acceso a lectura de la informacin M"ota: El primitivo S5L era solamente un lengua$e de consulta , a!oraC aunque !a conservado el nombre 0query1Cpermite modificar la base de datos 0DELE6E, I"SE&6, 3%D(6E1. La opcin , ata9e a esa II JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJ La funcin de resecuenciacin de los paquetes 0segmentos1 recibidos en desorden es realiada por la capa de transporte. "i la red, ni las capas de sesin o aplicacin se encargan de la resecuenciacin. II Eerificar si !ay l)neas base 0baselines1 de soft8are autoriado es una actividad realiada dentro de cu+l de las siguientes 2 La administracin de la configuracin da cuenta de todos los componentes de 6I, incluyendo soft8are. La administracin de proyectos se encarga del cronograma, administracin de recursos y rastreo del progreso del desarrollo del soft8are. Las administracin de problemas registra y monitorea los incidentes. La administracin de riesgos implica identificacin de riesgos, an+lisis de impacto, un plan de accin, etc. II %ara determinar qu usuarios pueden tener acceso al estado de supervisin privilegiado, -cu+l de los siguientes debe revisar un auditor de SI2 La revisin de los arc!ivos de configuracin del sistema para las opciones de control usadas mostrar)an cu+les usuarios tienen acceso al estado de supervisin privilegiado. 6anto los arc!ivos de registro de acceso a sistemas como los registros de violaciones de acceso son detectivos por naturalea. El soft8are de control de acceso es corrido ba$o el sistema operativo. II 3n auditor de SI est+ efectuando una auditor)a de un sistema operativo de red. -.u+l de las siguientes es una funcin de usuario que el auditor de SI debe revisar2 Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en l)nea de documentacin de red. ?tras funciones ser)an el acceso del usuario a diversos recursos de anfitriones 0!osts1 de red, la autoriacin del usuario a tener acceso a recursos particulares y la red y las computadoras anfitrionas 0!osts1 a ser usadas sin acciones o comandos especiales de usuario. Las opciones ,, II -.u+l de los siguientes es un control sobre las fallas7errores de comunicacin de componentes2 La redundancia, creando alguna forma de duplicacin en los componentes de red, como por e$emplo un enlace, un ruteador 0router1, un s8itc! para prevenir prdidas, demoras o duplicacin de datos, es un control sobre la falla o error de comunicacin del componente. ?tros controles relacionados son verificaciones de loop 7eco para detectar errores de l)nea, verificaciones de paridad, cdigos de correccin de errores y II 3n cable instalado de Et!ernet corrido en una red de pares retorcidos no protegidos 036%1 tiene m+s de ;AA metros de longitud. -.u+l de los siguientes podr)a ser causado por la longitud del cable2 La atenuacin es el debilitamiento de las se9ales durante la transmisin. .uando la se9al se torna dbil, comiena a leer un ; por un A, y el usuario puede e#perimentar problemas de comunicacin. 36% enfrenta atenuacin alrededor de los ;AA metros. La interferencia electromagntica 0E'I1 es causada por ondas electromagnticas e#ternas que afectan las se9ales deseadas, lo cual no es el caso aqu). La interferencia II El mtodo de direccionamiento del tr+fico a travs de instalaciones de cable partido 0split cable1 o instalaciones de cable duplicado se denomina: El direccionamiento diverso es el mtodo de direccionamiento del tr+fico a travs de instalaciones de cable partido o de instalaciones de cable duplicado, que puede lograrse con cubiertas de cables diferentes7duplicadas. El direccionamiento alternativo es el mtodo de direccionamiento de la informacin por un medio alternativo como cable de cobre o fibra ptica. La redundancia implica proveer capacidad II 3n comando Gquot4%ingGquot4 se usa para medir: La latencia, que se mide usando un comando Gquot4%ingGquot4, representa la demora que tendr+ un mensa$e 7paquete para via$ar desde el origen !asta el destino. 3na disminucin en la amplitud a medida que una se9al se propaga a travs de un medio de transmisin se denomina atenuacin. El rendimiento, que es la cantidad de traba$o por unidad de tiempo, se mide en bytes por segundo. La distorsin por demora representa la II -.u+l de los siguientes soportar)a 'E>?& la disponibilidad NO7P2 El mirroring de elementos cr)ticos es una !erramienta que facilita la recuperacin inmediata. La copia de respaldo diaria implica que es raonable que el restablecimiento ocurra dentro de un n*mero de !oras pero no inmediatamente. El almacenamiento fuera del sitio y la prueba peridica de sistemas no soportan por s) mismas la disponibilidad continua. II -El an+lisis de cu+l de los siguientes es '+S probable que !abilite al auditor de SI para determinar si un programa no aprobado intent tener acceso a datos sensitivos2 Las bit+coras de sistema son reportes automatiados que identifican la mayor)a de las actividades realiadas en la computadora. Se !an desarrollado muc!os programas que analian la bit+cora de sistema para reportar sobre puntos definidos espec)ficamente. Los reportes de terminacin anormal identifican los traba$os de aplicacin que fueron terminados antes de su terminacin e#itosa. Los reportes de problema de operador II .uando se analia la portabilidad de una aplicacin de base de datos, el auditor de SI debe verificar que: El uso de un lengua$e de consultas estructuradas 0S5L1 es un elemento clave para la portabilidad de la base de datos. La importacin y e#portacin de informacin con otros sistemas es un ob$etivo de revisin de interfaces de base de datos. El uso de un )ndice es un ob$etivo de una revisin de acceso a base de datos, y el !ec!o de que todas las entidades tengan un nombre significativo y llaves primaria y e#tran$era identificadas es II En un sistema de procesamiento de transacciones en l)nea, la integridad de datos es mantenida asegurando que una transaccin sea o bien concluida en su totalidad o no lo sea en absoluto. Este principio de integridad de datos se conoce como: El principio de atomicidad requiere que una transaccin sea completada en su totalidad o no lo sea en absoluto. Si ocurriera un error o interrupcin, todos los cambios efectuados !asta ese punto son retirados. La consistencia asegura que todas las condiciones de integridad en la base de datos sean mantenidas con cada transaccin. El aislamiento asegura que cada transaccin sea aislada de otras transacciones , y de a!) que, cada transaccin slo II Despus de instalar una red, una organiacin instal una !erramienta de estudio de la vulnerabilidad o escaneador de seguridad para identificar posibles debilidades. -.u+l es el riesgo '+S serio asociado con dic!as !erramientas2 &eporte negativo falso sobre las debilidades significa que las debilidades de control en la red no est+n identificadas y de a!) que no puedan ser resueltas, de$ando la red vulnerable a ataques. %ositivo falso es una en la que los controles est+n establecidos, pero est+n evaluados como dbiles, lo cual debe demandar una nueva verificacin de los controles. &eporte con menos detalles y funciones de reporteo diferencial II En un entorno de L(", -.u+l de los siguientes minimia el riesgo de corrupcin de datos durante la transmisin2 3sar conductos separados para cables de datos y cables elctricos, minimia el riesgo de corrupcin de datos debido a un campo magntico inducido creado por medio de corriente elctrica. La encripcin de datos minimia el riesgo de fuga de datos en caso de intercepcin de l)neas telefnicas, sin embargo, no puede prevenir la corrupcin. 3na suma de verificacin ayudar+ a detectar la corrupcin de datos durante la II -.u+l de los siguientes considerar)a un auditor de SI que es '+S *til cuando se eval*a la efectividad y adecuacin de un programa de mantenimiento preventivo de computadora2 3n registro de tiempo improductivo del sistema provee informacin sobre la efectividad y adecuacin de los programas de mantenimiento preventivo de computadora. II -.u+l de los siguientes es el medio '+S efectivo de determinar qu controles est+n funcionando correctamente en un sistema operativo2 Los par+metros de generacin del sistema determinan cmo funciona un sistema, la configuracin f)sica y su interaccin con la carga de traba$o. II -El control de congestin se mane$a 'E>?& por cu+l capa de ?SI2 La capa de transporte es responsable de la entrega de datos confiables. Esta capa implementa un mecanismo de control de flu$os que puede detectar congestin, reducir las velocidades de transmisin de datos y aumentar las velocidades de transmisin cuando la red parece que ya no est+ congestionada 0e.g., controles de flu$o de 6.%1. La capa de red no es correcta porque el control de congestin ocurre basado en II Los programas de utiler)a que re*nen mdulos de soft8are que se necesitan para e$ecutar una versin de programa de aplicacin de instrucciones de m+quina son: Los programas de utiler)a que re*nen mdulos de soft8are que se necesitan para e$ecutar una versin de programa de aplicacin de instruccin de m+quina son los editores de enlace y los cargadores. II El soft8are de monitoreo de capacidad se usa para asegurar: El soft8are de monitoreo de capacidad muestra, por lo general en forma de luces o de gr+ficas ro$as, +mbar y verdes, el uso real de los sistemas en l)nea frente a su capacidad m+#ima. El ob$etivo es permitir al personal de soporte de soft8are que tome medidas si el uso comenara a sobrepasar el porcenta$e de la capacidad disponible para asegurar que se mantenga la operacin eficiente, en trminos de tiempos de respuesta. II 3na limitacin de integridad de referencia est+ constituida por: Las limitaciones de integridad referencial aseguran que un cambio en una clave primaria de una tabla sea actualiada autom+ticamente en una llave e#tran$era coincidente de otras tablas. Esto se !ace usando disparadores. II -.u+l de las siguientes e#posiciones asociadas con el spooling de reportes sensitivos para impresin fuera de l)nea considerar)a un auditor de SI que es el '+S serio2 ( menos que est controlado, el spooling para impresin fuera de l)nea permite que se impriman copias adicionales. Es improbable que los arc!ivos de impresin estn disponibles para ser le)dos en l)nea por los operadores. Los datos en arc!ivos de spool no son m+s f+ciles de enmendar sin autoridad que cualquier otro arc!ivo. %or lo general !ay una amenaa menor de acceso no autoriado a los reportes sensitivos sen caso de una II -.u+l de los siguientes es cr)tico para la seleccin y adquisicin del soft8are de sistema operativo correcto2 La compra de soft8are de sistema operativo depende del !ec!o de que el soft8are sea compatible con el !ard8are e#istente. Las opciones ( y D, a pesar de ser importantes, no son tan importantes como la opcin .. Los usuarios no aprueban normalmente la adquisicin de soft8are de sistema operativo. II -.u+l de los siguientes medios de l)nea proveer)a la 'E>?& seguridad para una red de telecomunicacin2 Las l)neas dedicadas son apartadas para un usuario en particular o para una organiacin. .omo no se comparten l)neas o puntos intermedios de entrada, el riesgo de intercepcin o interrupcin de los mensa$es de telecomunicacin es m+s ba$o. II -.u+l de los siguientes tipos de fire8all proteger)a 'E>?& una red contra un ataque de Internet2 3n @ire8all filtrado de red subordinada proveer)a la me$or proteccin. El router de filtrado puede ser un router comercial o un nodo con capacidades de direccionamiento que puede filtrar paquetes, con la capacidad para permitir o evitar el tr+fico entre redes o entre nodos bas+ndose en direcciones, puertos, protocolos, interfaces, etc. Las gate8ays de nivel de aplicacin son intermediarias entre dos entidades que II JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJ EDI es la me$or respuesta. Implementado debidamente 0por e$emplo, contratos con normas para transacciones entre los socios comerciales, controles sobre los mecanismos de seguridad de la red en con$unto con los controles de aplicacin1 EDI se adec*a me$or para identificar y dar seguimiento a los errores m+s r+pidamente dadas las reducidas oportunidades de revisin y de autoriacin. II -.u+l de los siguientes componentes es ampliamente aceptado como uno de los componentes cr)ticos en la administracin de redes2 La administracin de configuraciones es ampliamente aceptada como uno de los componentes clave de cualquier red dado que establece cmo funcionar+ la red tanto interna como e#ternamente. 6ambin se ocupa de la administracin de la configuracin y del monitoreo del desempe9o. Los mapeos topolgicos proveen una descripcin de los componentes de la red y su conectividad. Esto es cr)tico para administrar y II (plicar una fec!a de retencin en un arc!ivo asegurar+ que: 3na fec!a de retencin asegurar+ que un arc!ivo no pueda ser sobrescrito antes de que esa fec!a !aya pasado. La fec!a de retencin no afectar+ la capacidad de leer el arc!ivo. Las copias de respaldo se esperar)a que tengan una fec!a de retencin diferente y por lo tanto puedan bien ser retenidas despus de que el arc!ivo !aya sido sobrescrito. La fec!a de creacin, no la fec!a de retencin, diferenciar+ los arc!ivos que tengan el mismo II Las redes neurales son efectivas para detectar el fraude porque pueden: Las redes neurales se pueden usar para atacar problemas que requieren consideracin de numerosas variables de input. Ellas son capaces de captar relaciones y patrones que a menudo se les escapa a otros mtodos estad)sticos. Las redes neurales no descubrir+n nuevas tendencias. Ellas son in!erentemente no lineales y no !acen supuestos sobre la forma de ninguna curva que relacione a las variables con el output. Las II -.u+l de los siguientes traduce formatos de correo electrnico desde una red a otra para que el mensa$e pueda via$ar a travs de todas las redes2 3n gate8ay realia el traba$o de traducir formatos de correo electrnico de una red a otra para que los mensa$es puedan seguir su camino a travs de todas las redes. 3n convertidor de protocolo es un dispositivo de !ard8are que convierte entre dos tipos diferentes de transmisiones, como por e$emplo transmisiones as)ncronas y s)ncronas. 3n procesador de inicio de comunicacin conecta todas las l)neas de comunicacin de red a una II IHbrISuponiendo que este diagrama representa una instalacin interna y la organiacin est+ implementando un programa de proteccin de fire8all, -Dnde deber)an instalarse los fire8alls2 El ob$etivo de un fire8all es proteger una red confiable contra una red no confiable4 por lo tanto, las ubicaciones que necesitan implementaciones de fire8all estar)an en la e#istencia de las cone#iones e#ternas. 6odas las otras respuestas son incompletes o representan cone#iones internas. II IHbrI%ara las ubicaciones Qa, ;d y Qd, el diagrama indica !ubs con l)neas que parecen estar abiertas y activas. Suponiendo que es verdad, -qu controles, si !ubiera, se recomendar)a para mitigar esta debilidad2 Los !ubs abiertos representan una debilidad significativa de control a causa del potencial de f+cil acceso a una cone#in de red. 3n !ub inteligente permitir)a la desactivacin de un solo %uerto mientras de$a activos los puertos restantes. (dicionalmente, la seguridad f)sica tambin proveer)a una proteccin raonable sobre los !ubs con puertos activos. II IHbrIEn el +rea Nc del diagrama, !ay tres !ubs conectados entre s). -5u riesgo potencial podr)a esto indicar2 Los !ubs son dispositivos internos que generalmente no tienen conectividad e#terna directa y por ello no est+n propensos a !acRers. "o se conocen virus que sean espec)ficos para los ataques de !ubs. 'ientras que esta situacin puede ser un indicador de controles deficientes de la gerencia, La opcin , es m+s probable cuando se sigue la pr+ctica de amontonar !ubs y crear m+s cone#iones de terminales. II .uando una %. que !a sido utiliada para el almacenamiento de datos confidenciales es vendida en el mercado abierto: El disco duro debe ser desmagnetiado ya que esto causar+ que todos los bits sean puestos a cero eliminando as) cualquier posibilidad de que la informacin que !aya estado almacenada anteriormente en el disco, sea recuperada. 3n formato de nivel medio no borra informacin del disco duro, slo restablece los se9aladores de directorio. La eliminacin de datos del disco elimina el se9alador del arc!ivo, pero en realidad de$a II 3n puerto serial universal 03S,1: El puerto 3S, conecta la red sin tener que instalar una tar$eta separada de interfa de red dentro de una computadora usando un adaptador 3S, de Et!ernet. II -.mo puede una empresa proveer acceso a su Intranet 0i.e., e#tranet1 a travs de la Internet a sus socios comerciales2 3na red virtual privada 0E%", siglas de los trminos en ingls1 permite que los socios e#ternos participen con seguridad en la e#tranet usando redes p*blicas como un transporte o redes privadas compartidas. Debido a su ba$o costo, usar .las redes p*blicas 0Internet1como transporte es el mtodo principal. Los E%"s se basan en tcnicas de tuneliacin7encapsulacin, que permiten que el protocolo de Internet 0I%1 lleve una II JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJ La mayor preocupacin cuando se implementan fire8alls encima de sistemas operativos comerciales es la presencia potencial de vulnerabilidades que podr)an socavar la postura de seguridad de la plataforma misma de fire8all. En la mayor)a de las circunstancias, cuando se violan los fire8alls comerciales, esa violacin es facilitada por vulnerabilidades en el sistema operativo subyacente. 'antener disponibles todas las II 3n !ub es un dispositivo que conecta: 3n !ub es un dispositivo que conecta dos segmentos de un solo L(", 3n !ub es una repetidora, provee conectividad transparente a los usuarios en todos los segmentos del mismo L(". Es un dispositivo de nivel ;. 3n puente opera en el nivel N de la capa ?SI y se usa para conectar dos L("s usando protocolos diferentes 0por e$emplo, uniendo una red de et!ernet con una red de toRen1 para formar una red lgica. 3n gate8ay, que II -.u+l de los siguientes ayudar)a a asegurar la portabilidad de una aplicacin conectada a una base de datos2 El uso de lengua$e estructurado de pregunta 0S5L1 facilita la portabilidad. La verificacin de procedimientos de importacin y e#portacin con otros sistemas asegura me$or interfa con otros sistemas, analiar los procedimientos7triggers almacenados asegura el acceso7desempe9o apropiado, y revisar el dise9o, el modelo entidadCrelacin, todos ser+n de ayuda pero no contribuyen a la portabilidad de una aplicacin que conecta a una II -.u+l de los siguientes dispositivos de !ard8are libera a la computadora central de realiar tareas de control de red, conversin de formato y mane$o de mensa$es2 3n %rocesador de inicio de comunicacin 0@rontCend1 es un dispositivo de !ard8are que conecta todas las l)neas de comunicacin a una computadora central para liberar a la computadora central. II -.u+l de los siguientes se puede usar para verificar los resultados del output y los totales de control !acindolos coincidir contra los totales de datos de input y de control2 El balanceo de lote se usa para verificar los resultados de output y los totales de control !acindolos coincidir contra los datos de input y los totales de control. Los formularios de encabeado de lote controlan la preparacin de datos4 las correcciones de error de conversin de datos corrigen los errores que ocurren debido a duplicacin de transacciones e ingreso de datos incorrectos4 y los controles de acceso sobre los II -.u+l de los siguientes esperar)a encontrar un auditor de SI en un registro de consola2 Los errores de sistema son los *nicos que uno esperar)a encontrar en el registro de consola. II -.u+l de las siguientes metodolog)as basadas en sistema emplear)a una compa9)a de procesamiento financiero para monitorear los patrones de gasto para identificar patrones anormales y reportarlos2 3na red neural monitorear+ y conocer+ patrones, reportando las e#cepciones para investigacin. El soft8are de administracin de base de datos es un mtodo de almacenar y recuperar datos. La administracin de sistemas de informacin provee estad)sticas de gerencia pero normalmente no tiene una funcin de monitoreo y deteccin. Las tcnicas de auditor)a asistidas por computadora detectan situaciones espec)ficas, pero no est+n II JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJ %ara que la microcomputadora del auditor de SI se comunique con la mainframe, el auditor de SI debe usar un convertidor de protocolo para convertir la transmisin as)ncrona y la s)ncrona. (dicionalmente, el mensa$e debe ser enviado al buffer para compensar las velocidades diferentes de flu$o de datos. II La interfa que permite acceso a los servicios de red de nivel m+s ba$o o m+s alto se denomina: 'iddle8are, una clase de soft8are empleado por las aplicaciones clienteCservidor, provee servicios, como por e$emplo, identificacin, autenticacin, directorios y seguridad. @acilita las cone#iones clienteCservidor a travs de la red y permite que las aplicaciones de cliente tengan acceso y actualicen bases de datos remotas y arc!ivos de mainframe. @irm8are est+ constituido por c!ips de memoria con cdigo de programa II -.u+l de los siguientes controles detectar+ en forma '+S efectiva la presencia de surgimientos de errores en las transmisiones de red2 La verificacin de redundancia c)clica 0.&., siglas de los trminos en ingls1 puede verificar un bloque de datos transmitidos. Las estaciones de traba$o generan la .&. y la transmiten con los datos al mismo tiempo. La estacin de traba$o que recibe computa una .&. y la compara con la estacin de traba$o del remitente. Si ambas son iguales entonces se asume que el bloque est+ libre de error. En este caso 0como por e$emplo un error II -.u+l de los siguientes tipos de fire8alls provee el '(F?& grado y granularidad de control2 El gate8ay de aplicacin es similar a un gate8ay de circuito, pero tiene pro#ies espec)ficos para cada servicio. %ara poder mane$ar los servicios 8eb tiene un pro#y de !ttp, que act*a como un intermediario entre e#ternos e internos, pero espec)ficamente para !ttp. Esto significa que no slo verifica el paquete de direcciones de I% 0capa Q1 y los puertos a los que est+ dirigido 0en este caso el puerto SA, la capa O1, tambin verifica cada II -.u+l de las capas del modelo IS?7 ?SI provee servicio para cmo enrutar los paquetes entre los nodos2 La informacin de interruptores y rutas de capas de red 0encabeador o !eader de capa de red1. Los servicios de enlace de datos nodo a nodo se e#tienden a travs de la red mediante esta capa. La capa de red provee tambin servicio para cmo enrutar los paquetes 0unidades de informacin en la capa de red1 entre los nodos conectados a travs de una red arbitraria. La capa de enlace de datos transmite informacin como grupos de bits 0unidades II En una red basada en 6.%7I%, una direccin de I% especifica: 3na direccin de I% especifica una cone#in de red. .omo una direccin de I% codifica tanto una red como un anfitrin en esa red, ellos no especifican una computadora individual, sino una cone#in a una red. 3n router 7gate8ay conecta dos redes y tendr+ dos direcciones de I%. De a!) que, una direccin de I% no pueda especificar un router. 3na computadora en la red puede ser conectada a otras redes tambin. En ese caso II El dispositivo para e#tender la red que debe tener capacidad de almacenamiento para almacenar marcos 0frames1 y para actuar como un dispositivo de almacenamiento y reenv)o es un: Los puentes conectan dos redes separadas para formar una red lgica 0por e$emplo, uniendo una red de et!ernet con un red de toRen1. Este dispositivo de !ard8are debe tener capacidad de almacenamiento para almacenar marcos y para actuar como un dispositivo de almacenamiento y reenv)o. Los puentes operan en la capa de enlace de datos de ?SI e#aminando el encabeador de control de acceso a los medios de un II En una arquitectura cliente 7servidor, un servicio de nombre de dominio 0domain name serviceCD"S1 es lo '+S importante porque provee: El D"S es primariamente utiliado en la Internet para la resolucin del nombre Gdireccin del sitio 8eb. Es un servicio de Internet que traduce nombres de dominio en direccin es de I%. .omo los nombres son alfabticos, son m+s f+ciles de recordar. Sin embargo, la Internet se basa en direcciones de I%. .ada ve que se usa un nombre de dominio, un servicio D"S debe traducir el nombre en la direccin de I% correspondiente. El II En un servidor de 8eb, una interfa com*n de gate8ay 0.:I1 es usada con la '(F?& frecuencia como: La interfa com*n de gate8ay 0.:I1 es una forma est+ndar para que un servidor de 8eb pase la solicitud de un usuario de 8eb a un programa de aplicacin y para que reciba y env)e los datos al usuario. .uando el usuario solicita una p+gina de 8eb 0por e$emplo, presionando en una palabra iluminada o ingresando una direccin de sitio de 8eb1, el servidor env)a de regreso la p+gina solicitada. Sin embargo, cuando un usuario II &ecibir una transaccin de intercambio electrnico de datos 0electronic data interc!angeCEDI1 y pasarla a travs de la etapa de interfa de comunicaciones requiere a menudo: La etapa de interfa de comunicaciones requiere procedimientos de verificacin del direccionamiento. EDI o ("SI T;N es un est+ndar que debe ser interpretado por una aplicacin para que las transacciones sean procesadas y luego facturadas, pagadas y enviadas, tanto si corresponden a mercanc)a como a servicios. SKI@6 es un e$emplo de cmo EDI !a sido implementado y adoptado. "o tiene sentido enviar y recibir II %ara un sistema de procesamiento de transacciones en l)nea, las transacciones por segundo es una medida de: Las medidas de t!roug!put miden cu+nto traba$o es efectuado por un sistema durante un per)odo de tiempo4 mide la productividad del sistema. En un sistema de procesamiento de transacciones en l)nea, las transacciones por segundo son un )ndice de t!roug!put. El tiempo de respuesta se define como la longitud de tiempo que transcurri entre el sometimiento de un input y el recibo II -5u es un riesgo asociado con intentar controlar el acceso f)sico a las +reas sensitivas, como por e$emplo salas de computadora, a travs de llaves de tar$eta, cerro$os, etc.2 El concepto de piggybacRing compromete todo el control f)sico establecido. La opcin , ser)a una preocupacin m)nima en un entorno de recuperacin de desastre. Los puntos en la opcin . son se duplican f+cilmente. &especto a la opcin D, la tecnolog)a est+ cambiando constantemente pero las llaves de tar$eta !an e#istido por alg*n tiempo ya y parece que son una opcin viable para el futuro previsible. II -.u+l de las siguientes se considerar)a una caracter)stica esencial de un sistema de administracin de red2 %ara rastrear la topolog)a de la red ser)a esencial que e#istiera una interfa gr+fico "o es necesario que cada red est en la Internet y un !elp desR, y la capacidad de e#portar a una !o$a de traba$o no es un elemento esencial. II El error m+s probable que ocurre cuando se implementa un fire8all es: 3na lista de acceso actualiada e impecable es un desaf)o significativo y, por lo tanto, tiene la mayor oportunidad de errores en el momento de la instalacin inicial. Las contrase9as no se aplican a los fire8alls, un mdem evade un fire8all y un ataque de virus no es un elemento al implementar un fire8all. II -.u+l de las siguientes disposiciones f)sicas de L(" est+ su$eta a prdida total si falla un dispositivo2 La red de bus es vulnerable a falla si falla un dispositivo. Los dispositivos est+n conectados en un solo cable. Si este calbe es cortado, todos los dispositivos m+s all+ del punto de corte no estar)an disponibles. II 3na !erramienta de diagnstico de red que monitorea y registra informacin de red es un: Los analiadores de protocolo son !erramientas de diagnstico de red que monitorean y registran informacin de red de los paquetes que via$an en el enlace al que est+ conectado el analiador. Los monitores en l)nea 0?pcin (1 miden las transmisiones de telecomunicaciones y determinan si las transmisiones son correctas y completas. Los reportes de tiempo improductivo 0?pcin ,1 rastrean la disponibilidad de l)neas y circuitos de II -.u+l de los siguientes ayudar+ a detectar los cambios efectuados por un intruso al registro de sistema de un servidor2 3n .D que se escribe una sola ve no puede ser sobrescrito. %or lo tanto, el registro de sistema duplicado en el disco podr)a compararse con el registro original para detectar diferencias, que podr)a ser el resultado de cambios efectuados por un intruso. %roteger la escritura en el registro de sistema no previene la eliminacin o modificacin, ya que el s*per usuario puede evadir la proteccin de escritura. La copia de respaldo y el II .uando se revisa la implementacin de una L(" el auditor de SI debe %&I'E&? revisar: %aras revisar debidamente una implementacin de L(", el auditor de SI debe primero verificar el diagrama de red y confirmar la aprobacin. La verificacin de nodos de la lista de nodos y el diagrama de red ser)a luego seguido por una revisin del reporte de la prueba de aceptacin y luego la lista del usuario. II -.u+l de los siguientes es un e$emplo del principio de defensa e#!austiva de la seguridad2 Defensa e#!austiva 0inCdept!1 significa usar diferentes mecanismos de seguridad que se respaldan entre s). .uando el tr+fico de red pasa involuntariamente un fire8all, los controles de acceso lgico forman una segunda l)nea de defensa. 3sar dos fire8alls de diferentes vendedores para verificar de manera consecutiva el tr+fico de red entrante es un e$emplo de diversidad en la defensa. Los fire8alls son los mismos II -.u+l de los siguientes asegura 'E>?& la integridad del sistema operativo de un servidor2 Endurecer 0!ardening1 un sistema significa configurarlo en la forma m+s segura 0instalar los *ltimos parc!es de seguridad, definir debidamente la autoriacin de acceso para usuarios y administradores, in!abilitar las opciones inseguras y desinstalar los servicios no utiliados1 para prevenir que los usuarios no privilegiados obtengan el derec!o de e$ecutar instrucciones privilegiadas y de ese modo tomen control de II -.u+l de los siguientes componentes de red es %&I'(&I('E"6E establecido para servir como una medida de seguridad impidiendo el tr+fico no autoriado entre diferentes segmentos de la red2 Los sistemas @ire8all son la !erramienta primaria que permite que una organiacin impida el acceso no autoriado entre las redes. 3na organiacin puede escoger utiliar uno o m+s sistemas que funcionan como fire8alls. Los routers pueden filtrar paquetes basados en par+metros, como por e$emplo direccin fuente, pero no son primariamente una !erramienta de seguridad. ,asado en direcciones de .ontrol de (cceso a los II %ara evaluar la integridad referencial de una base de datos un auditor de SI debe revisar: 3na llave7clave e#terna es una columna en una tabla que referencia a una llave7clave primaria de otra tabla, proveyendo as) la integridad referencial. Las llaves7claves compuestas est+n constituidas por dos o m+s columnas designadas $untas como la llave7clave primaria de una tabla. La inde#acin de campo acelera las b*squedas, pero no asegura la integridad referencial. La integridad referencial est+ relacionada con el II 3n auditor de SI detect que varias %.s conectados con el Internet tienen un nivel ba$o de seguridad que est+ permitiendo el registro libre de cooRies. Este crea un riesgo porque las cooRies almacenan localmente: El arc!ivo de cooRies reside en la m+quina cliente. .ontiene datos pasados desde los sitios 8eb, para que los sitios 8eb puedan comunicarse con este arc!ivo cuando el mismo cliente regresa. El sitio 8eb slo tiene acceso a esa parte del arc!ivo de cooRie que representa la interaccin con ese sitio 8eb en particular. Los arc!ivos de cooRies !an causado algunos problemas con respecto a la privacidad. Las cuatro opciones se relacionan todas II -.u+l de los siguientes es la causa '+S probable para que un servidor de correo sea usado para enviar spam2 3n pro#y abierto 0o relay abierto1 permite que personas no autoriadas diri$an 0route1 su spam a travs del servidor de correo de otro. %?%Q y S'6% son protocolos de correo com*nmente usados. (ctivar el registro de actividad 0accounting1 de usuarios no se relaciona con usar un servidor para enviar spam. II La preocupacin de seguridad '+S significativa cuando se usa una memoria flas! 0por e$emplo, disco removible 3S,1 es que: ( menos que est debidamente controlada, una memoria flas! provee una posibilidad para que cualquiera copie cualquier contenido con facilidad. Los contenidos almacenados en la memoria flas! no son vol+tiles. Sacar copias de respaldo a los datos de la memoria flas! no es una preocupacin de control ya que los datos son a veces almacenados como copia de respaldo. 3na memoria flas! ser+ accedida a travs de un %. me$or que II 3n auditor de SI que revisa una aplicacin de base de datos descubre que la configuracin actual no coincide con la estructura dise9ada originalmente. -.u+l de los siguientes deber)a ser la pr#ima accin del auditor de SI2 El auditor de SI debe primero determinar si las modificaciones fueron aprobadas debidamente. Las opciones (, , y . son posibles acciones posteriores, si el auditor encuentra que la modificacin estructural no !a sido aprobada. II El administrador de base de datos 0D,(1 sugiere que la eficiencia de la ,ase de Datos 0D,1 puede ser me$orada desnormaliando algunas tablas. Esto resultar)a en: La normaliacin es un proceso de dise9o o de optimiacin para una base de datos 0D,1 relacional que minimia la redundancia4 por lo tanto, la desnormaliacin aumentar)a la redundancia 0redundancia que es, por lo general, considerada positiva cuando es una cuestin de disponibilidad de recursos, es negativa en un entorno de base de datos, ya que e#ige esfueros adicionales, de otro modo innecesarios, de mane$o de II -.u+l de los siguientes es el mtodo '+S efectivo para tratar con la divulgacin de un gusano de red que se aprovec!a de la vulnerabilidad en un protocolo2 Detener el servicio e instalar la reparacin de seguridad es la forma m+s segura de impedir que el gusano se e#tienda. Si el servicio no es detenido, instalar la reparacin no es el mtodo m+s efectivo porque el gusano contin*a e#tendindose !asta que la reparacin se vuelve efectiva. ,loquear el protocolo en el per)metro no impide al gusano e#tenderse a la red0es1 interna0s1. ,loquear el protocolo ayuda a desacelerar la II JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ JJJJJJJJJJJJJJJJJJJJJJJJJJJJ 3n monitor de referencia es un mecanismo abstracto que verifica cada solicitud !ec!a por un individuo 0proceso de usuario1 para tener acceso y usa un ob$eto 0por e$., arc!ivo, dispositivo, programa1 para asegurar que la solicitud cumple con una pol)tica de seguridad. 3n monitor de referencia es implementado a travs de un n*cleo 0Rernel1 de seguridad, que es un mecanismo de !ard8are 7soft8are II Las !erramientas de filtrado de la 8eb y del correo electrnico son %&I".I%(L'E"6E valiosas para una organiacin porque ellas: La ran principal para invertir en !erramientas de filtrado de la 8eb y de correo electrnico es que ellas reducen significativamente los riesgos relacionados con virus y material que no es del negocio. La opcin , podr)a ser cierta en algunas circunstancias 0i.e., necesitar)a ser implementada a$unto con un programa de conocimiento, para que el desempe9o 7 rendimiento del empleado pueda ser me$orado de manera significativa14 sin embargo, II -.u+l de los siguientes es el '(F?& riesgo relacionado con el monitoreo de los registros de auditor)a2 Si no se investigan las acciones no autoriadas del sistema, el registro no tiene utilidad. %urgar los registros antes de una revisin peridica es un riesgo pero no es tan cr)tico como la necesidad de investigar las acciones cuestionables. &egistrar los eventos de rutina pueden !acer m+s dif)cil reconocer las acciones no autoriadas, pero los eventos cr)ticos a*n as) se registran. Los procedimientos para !abilitar y revisar los registros II 3n comit de seguimiento de 6I revisar)a los sistemas de informacin %&I'(&I('E"6E para determinar: La funcin de un comit de seguimiento de 6I es asegurar que el departamento de SI est en armon)a con la misin y los ob$etivos de la organiacin. %ara asegurar esto, el comit debe determinar si los procesos de 6I soportan los requerimientos del negocio. (naliar la funcionalidad adicional propuesta, y evaluar tanto la estabilidad del soft8are como la comple$idad de la tecnolog)a, son aspectos demasiado estrec!os en su II El efecto '+S probable de la falta de participacin de la alta gerencia en la planeacin estratgica de 6I es: Debe e#istir un comit de seguimiento para asegurar que las estrategias de 6I soporten las metas de la organiacin. La ausencia de un comit de tecnolog)a de informacin o un comit no compuesto de altos gerentes ser)a una indicacin de falta de participacin de la alta gerencia. Esta condicin aumentar)a el riesgo de que 6I no est a la altura de la estrategia de la organiacin. II -.u+l de los siguientes es una funcin de un comit de direccin de SI2 El comit de direccin de SI t)picamente sirve como una $unta general de revisin para los principales proyectos de SI y no debe involucrarse en operaciones de rutina, por lo tanto, una de sus funciones es aprobar y monitorear los principales proyectos, la situacin de los planes y presupuestos de SI. El control de cambio de vendedor es un aspecto de outsourcing y debe ser monitoreado por la gerencia de SI. (segurar una separacin de II 3n comit de direccin de SI debe: Es importante llevar las actas detalladas de los comits de direccin para documentar las decisiones y las actividades del comit de direccin de SI, y la $unta directiva debe ser informada a su debido tiempo. La opcin ( es incorrecta porque slo la gerencia principal o los niveles altos del personal deben ser miembros de este comit debido a su misin estratgica. La opcin , no es una responsabilidad de este comit II La participacin de la alta gerencia es '+S importante en el desarrollo de: Los planes estratgicos proveen la base para asegurar que la empresa cumpla sus metas y ob$etivos. La participacin de la alta gerencia es cr)tica para asegurar que el plan logra de manera adecuada las metas y ob$etivos establecidos. Las pol)ticas de SI, procedimientos, normas y lineamientos est+n todos estructurados para soportar el plan estratgico general. II El gobierno efectivo de 6I asegurar+ que el plan de 6I sea consistente con el: %ara gobernar 6I eficamente, 6I y el negocio deben moverse en la misma direccin, requiriendo que los planes de 6I estn alineados con los planes de negocio de una organiacin. Los planes de auditor)a y de inversin no forman parte del plan de 6I y el plan de seguridad debe ser al nivel corporativo. II Establecer el nivel de riesgo aceptable es responsabilidad de: La alta gerencia deber)a establecer el nivel de riesgo aceptable, ya que ellos son los responsables en *ltima instancia o los responsables finales de la operacin efectiva y eficiente de la organiacin. Las opciones (, . y D deber)an actuar como asesores de la alta gerencia para determinar un nivel aceptable de riesgo. II El gobierno de 6I es %&I'(&I('E"6E responsabilidad del: El gobierno de 6I es primariamente responsabilidad de los e$ecutivos y de los accionistas 0representados por la $unta directiva Mboard of directors.U1 El director general es instrumental para implementar el gobierno de 6I en conformidad con las instrucciones de la $unta directiva. El comit de seguimiento de 6I monitorea y facilita el despliegue de los recursos de 6I para proyectos espec)ficos en soporte de los planes de negocio. El II Desde una perspectiva de control, el elemento clave en las descripciones de traba$os es que: Desde una perspectiva de control, la descripcin de un traba$o debe establecer responsabilidad y deber de reportar7imputabilidad 0accountability1. Esto ayudar+ a asegurar que se d a los usuarios acceso al sistema en conformidad con las responsabilidades definidas de su traba$o. Las otras opciones no est+n directamente relacionadas con los controles. %roveer instrucciones sobre cmo !acer el traba$o y definir la autoridad, II -.u+l de lo siguiente proveer)a 'E>?& garant)a de la integridad del nuevo personal2 3na investigacin de los antecedentes es el mtodo primario para asegurar la integridad de un prospectivo miembro del personal. Las referencias son importantes y ser)a necesario verificarlas, pero no son tan fiables como la investigacin de los antecedentes. La fiana est+ referenciando al cumplimiento de la debida diligencia, no a la integridad, y las calificaciones7!abilidades indicadas en un rsum7curriculum vitae7!o$a de vida, pueden II -.u+l de los siguientes ser)a un control compensatorio para mitigar los riesgos resultantes de una segregacin inadecuada de funciones2 Las reconciliaciones de control de lote son un e$emplo de controles compensatorios. ?tros e$emplos de controles compensatorios son las bit+coras de transacciones, las pruebas de raonabilidad, las revisiones independientes y las pistas de auditor)a tales como bit+coras de consola, bit+coras de biblioteca y la fec!a de contabilidad del traba$o. Las verificaciones de secuencia y los d)gitos de verificacin son ediciones de II .uando un empleado es despedido de su servicio, la accin '+S importante es: E#iste una probabilidad de que un empleado despedido pueda !acer mal uso de los derec!os de acceso, por lo tanto, in!abilitar el acceso lgico de un empleado terminado es la accin m+s importante que se debe emprender. 6odo el traba$o del empleado terminado necesita ser entregado a un empleado designado, sin embargo, esto debe efectuarse despus de implementar la opcin D. Se debe !acer copia de respaldo II El cuadro de mandos o marcador balanceado 0balanced scorecard1 de 6I es una !erramienta de gobierno del negocio que est+ destinada a monitorear los indicadores de evaluacin del desempe9o 0performance1 de 6I aparte de: Los resultados financieros !an sido tradicionalmente la *nica medida general de desempe9o. El cuadro de mandos o marcador balanceado de 6I 0,S.1 es una !erramienta de gobierno del negocio de 6I dirigida a monitorear los indicadores de evaluacin del desempe9o de 6I adem+s de los resultados financieros. El ,S. de 6I considera otros factores clave de #ito, tales como la satisfaccin del cliente, la capacidad de II La funcin de establecimiento del libro mayor7mayor general 0general ledger1 en un paquete empresarial 0E&%1 permite fi$ar per)odos contables. El acceso a esta funcin !a sido permitido a los usuarios en finanas, almacn e ingreso de rdenes. La ran '+S probable para dic!o amplio acceso es: El establecimiento de per)odos contables es una de las actividades cr)ticas de la funcin de finanas. ?torgar acceso a esta funcin al personal en el almacn y en el ingreso de rdenes podr)a ser a causa de una falta de pol)ticas y procedimientos apropiados para la segregacin adecuada de funciones. Los per)odos contables no deber)an ser cambiados a intervalos regulares, sino que se deber)an establecer de manera permanente. El II 'uc!as organiaciones requieren que todos los empleados toman una vacacin obligatoria de una semana o m+s para: Las vacaciones requeridas de una semana o m+s de duracin en la que alguien que no sea el empleado regular realice la funcin del puesto de traba$o es a menudo obligatoria para las posiciones importantes. Esto reduce la oportunidad de cometer actos indebidos o ilegales, y durante este tiempo puede ser posible descubrir cualquier actividad fraudulenta que estuviera ocurriendo. Las opciones (, . y D todas podr)an II 3n administrador de L(" estar)a normalmente restringido de: 3n administrador de L(" no deber)a tener responsabilidades de programacin pero puede tener responsabilidades de usuario final. El administrador de L(" puede reportarse al director de la I%@ o, en una operacin descentraliada, al gerente de usuario final. En las organiaciones peque9as, el administrador de L(" puede tambin ser responsable de la administracin de seguridad del L(". II 3n empleado de SI de largo plao que cuenta con un antecedente tcnico fuerte y con amplia e#periencia gerencial !a aplicado para una posicin vacante en el departamento de auditor)a de SI. La determinacin de si se debe contratar a esta persona para esta posicin deber)a basarse en la e#periencia de la persona y en: La independencia deber)a ser constantemente evaluada por el auditor y la gerencia. Esta evaluacin deber)a considerar factores tales como las relaciones personales, los intereses financieros y previas asignaciones y responsabilidades del puesto de traba$o. El !ec!o que el empleado !aya traba$ado en SI por muc!os a9os no puede por s) mismo asegurar la credibilidad. Las necesidades del departamento de auditor)a deber)an ser II 3n auditor de SI deber)a preocuparse cuando un analista de telecomunicacin: Las responsabilidades de un analista de telecomunicaciones incluyen requerimientos de carga de red en trminos de vol*menes corrientes y futuros de transacciones 0opcin ,1, evaluar el impacto de la carga de red o los tiempos de respuesta de las terminales y las velocidades de transferencia de datos de red 0opcin .1 y recomendar procedimientos y me$oras de balanceo de red 0opcin D1. 'onitorear el desempe9o II (ntes de implementar un cuadro de mandos o marcador balanceado 0balanced scorecard1 de 6I, una organiacin debe: Se requiere una definicin de indicadores clave de desempe9o antes de implementar un cuadro de mandos o marcador balanceado 0balanced scorecard1 de 6I. Las opciones (, . y D son ob$etivos. II %ara soportar las metas de una organiacin, el departamento de SI debe tener: %ara asegurar su contribucin a la realiacin de las metas generales de una organiacin, el departamento de SI debe tener planes de largo y corto plao que sean consistentes con los planes m+s amplios de la organiacin para alcanar sus metas. Las opciones ( y . son ob$etivos, y se necesitar)an planes para delinear cmo se alcanar)a cada uno de los ob$etivos. La opcin D podr)a ser parte del plan general pero se requerir)a solamente II (l revisar el plan de corto plao 0t+ctico1 de SI, el auditor de SI debe determinar si: La integracin de SI y del personal de negocios en los proyectos es un aspecto operativo y debe ser considerado mientras se revisa el plan de corto plao. 3n plan estratgico proveer)a un marco para el plan de corto plao de SI. Las opciones ,, . y D son +reas cubiertas por un plan estratgico. II -5u es lo que un auditor de sistemas considerar)a '+S relevante para la planificacin de corto plao para el departamento de IS2 El departamento de IS debe considerar espec)ficamente la forma en que se asignan los recursos en el corto plao. Las inversiones en 6I necesitan estar alineadas con las estrategias principales de la administracin, en lugar de concentrarse en la tecnolog)a por la tecnolog)a en s) misma. Llevar a cabo estudios de auto evaluacin de control y evaluar las necesidades de !ard8are no es tan cr)tico como asignar los recursos durante la II -.u+l de las metas siguientes esperar)a usted encontrar en el plan estratgico de una organiacin2 La planeacin estratgica pone en movimiento ob$etivos corporativos o departamentales. La planeacin compre!ensiva ayuda a asegurar una organiacin efectiva y eficiente. La planeacin estratgica est+ orientada al tiempo y a los proyectos, pero tambin debe resolver y ayudar a determinar prioridades para satisfacer las necesidades del negocio. Los planes de largo y corto plao deber)an ser consistentes con los planes m+s amplios II -.u+l de los siguientes considerar)a un auditor de SI que es '+S importante cuando se eval*a la estrategia de una organiacin2 5ue: La planeacin estratgica pone en movimiento ob$etivos corporativos o departamentales 6anto los planes estratgicos a largo plao como a corto plao deber)an ser consistentes con los planes m+s amplios de la organiacin y los ob$etivos del negocio para alcanar estas metas. La respuesta ( es incorrecta ya que la gerencia de l)nea prepar los planes. II 3n auditor de SI que revisa el plan estratgico de 6I de una organiacin deber)a %&I'E&? revisar: El plan estratgico de 6I e#iste para respaldar el plan de negocios de la organiacin. %ara evaluar el plan estratgico de 6I, el auditor de SI necesitar)a primero familiariarse con el plan de negocios. II .uando se revisan las estrategias de SI, el auditor de SI puede determinar 'E>?& si la estrategia de SI soporta los ob$etivos de negocio de las organiaciones determinando si SI: Determinar si el plan de SI es consistente con la estrategia de la gerencia relaciona la planificacin de SI76I con los planes del negocio. Las opciones (, . y D son mtodos efectivos para determinar si los planes de SI est+n en armon)a con los ob$etivos del negocio y con las estrategias de la organiacin. II La venta$a de un mtodo de aba$o !acia arriba para el desarrollo de pol)ticas organiativas es que las pol)ticas: 3n mtodo de aba$o !acia arriba comiena por definir los requerimientos y pol)ticas de nivel operativo, que se derivan y se implementan como el resultado de evaluaciones de riesgo. Las pol)ticas a nivel de la empresa se desarrollan posteriormente con base en una s)ntesis de las pol)ticas operativas e#istentes. Las opciones (, . y D son venta$as de un mtodo de arriba !acia aba$o para desarrollar pol)ticas organiativas. Este mtodo asegura que II -.u+l de los siguientes es el '(F?& riesgo de la definicin de una pol)tica inadecuada para propiedad de datos y de sistemas2 Sin una pol)tica que defina quin tiene la responsabilidad de otorgar acceso a sistemas espec)ficos, !ay un mayor riesgo de que uno pueda obtener 0se le pueda dar a uno1 acceso al sistema cuando de !ec!o esa persona no deber)a tener autoriacin. La asignacin de autoridad para otorgar acceso a usuarios espec)ficos, implica una me$or probabilidad de que los ob$etivos del negocio ser+n debidamente respaldados. II El ob$etivo %&I'(&I? de una auditor)a de las pol)ticas de seguridad de 6I es asegurar que: La orientacin del negocio debe ser el tema principal al implementar la seguridad. %or ello, una auditor)a de las pol)ticas de seguridad de 6I debe primordialmente concentrarse en si las pol)ticas de seguridad y control de 6I y relacionadas respaldan los ob$etivos del negocio y de 6I. &evisar si las pol)ticas est+n disponibles para todos es un ob$etivo, pero la distribucin no asegura el cumplimiento. La disponibilidad de II La velocidad de cambio de la tecnolog)a aumenta la importancia de: El cambio requiere que se implementen y e$ecuten buenos procesos de administracin de cambios. Dacer un outsourcing a la funcin de SI no est+ directamente relacionado con la velocidad de cambio tecnolgico. El personal en un departamento t)pico de SI est+ altamente calificado y educado, por lo general no siente que sus puestos de traba$o estn en riesgo y est+n preparados para cambiar de traba$o con frecuencia. II 3n auditor de SI encuentra que no todos los empleados tienen conocimiento de la pol)tica de seguridad de informacin de la empresa. El auditor de SI debe concluir que: 6odos los empleados deben tener conocimiento de la pol)tica de seguridad de la empresa para prevenir la revelacin no intencional de informacin sensitiva. La capacitacin es un control preventivo. Los programas de concientiacin de la seguridad para los empleados puede prevenir la revelacin no intencional de informacin sensitiva a personas a$enas. II .uando se !a dise9ado una pol)tica de seguridad de informacin, lo '+S importante es que la pol)tica de seguridad de informacin sea: %ara ser efectiva, una pol)tica de seguridad de informacin deber)a llegar a todos los miembros del personal. (lmacenar la pol)tica de seguridad fuera del sitio o en un lugar seguro puede ser aconse$able pero de poco valor si su contenido no es conocido por los empleados de la organiacin. La pol)tica de seguridad de informacin deber)a ser escrita por los gerentes de unidad de negocios incluyendo SI, pero no II El desarrollo de una pol)tica de seguridad de SI es resposabilidad de: ( diferencia de otras pol)ticas corporativas, el marco de la pol)tica de seguridad de sistemas es responsabilidad de la direccin general, la $unta directiva. El departamento de SI es responsable de la e$ecucin de la pol)tica, no teniendo ninguna autoridad en el enmarcado de la pol)tica. El comit de seguridad tambin funciona dentro de la amplia pol)tica de seguridad definida por la $unta directiva. El administrador de la II -.u+l de los siguientes programas es '+S probable que una pol)tica sana de seguridad de informacin incluir)a, para mane$ar las intrusiones sospec!osas2 3na pol)tica sana de seguridad de SI es m+s probable que esboce un programa de respuesta para mane$ar las intrusiones sospec!osas. Los programas de correccin, deteccin y monitoreo son todos aspectos de seguridad de informacin, pero probablemente no ser+n incluidos en una declaracin de pol)tica de seguridad de SI. II -.u+l de los siguientes ser)a incluido en la pol)tica de seguridad de SI de una organiacin2 La pol)tica de seguridad provee la estructura amplia de la seguridad, como !a sido dispuesta y aprobada por la alta gerencia. Incluye una definicin de las personas autoriadas para otorgar acceso y la base para otorgarlo. Las opciones (, , y . est+n m+s detalladas que lo que deber)a incluirse en una pol)tica. II -.u+l de los siguientes es un paso inicial para crear una pol)tica de fire8all2 La identificacin de las aplicaciones requeridas en toda la red debe ser identificada primero. Despus de la identificacin, dependiendo de la ubicacin f)sica de estas aplicaciones en la red y el modelo de red, la persona a cargo podr+ entender la necesidad y las posibles formas de controlar el acceso a estas aplicaciones. Identificar los mtodos para proteger contra las vulnerabilidades identificadas y su an+lisis II La administracin de una organiacin !a decidido establecer un programa de conocimiento de la seguridad. -.u+l de los siguientes es '+S probable que sea parte del programa2 3tiliar un sistema de deteccin de intrusos para reportar sobre los incidentes que ocurren es una implementacin de un programa de seguridad y no es efectivo para establecer un programa de conocimiento de la seguridad. Las opciones , y . no resuelven el conocimiento. El entrenamiento es la *nica opcin que est+ dirigida al conocimiento de la seguridad. II -.u+l de los siguientes es '+S cr)tico para la implementacin e#itosa y el mantenimiento de una pol)tica de seguridad2 La asimilacin de la estructura y la intencin de una pol)tica de seguridad escrita por parte de los usuarios de los sistemas es cr)tico para la implementacin e#itosa y el mantenimiento de la pol)tica de seguridad. 3no puede tener un buen sistema de contrase9a, pero si los usuarios del sistema mantienen contrase9as escritas en su mesa, el sistema de contrase9a tiene poco valor. El soporte y dedicacin de la gerencia es II 3na pol)tica e#!austiva y efectiva de correo electrnico deber)a resolver los problemas de estructura de correo electrnico, e$ecucin de pol)ticas, monitoreo y: (dem+s de ser una buena pr+ctica, las leyes y regulaciones pueden requerir que una organiacin mantenga informacin que tenga un impacto en los estados financieros. La prevalencia de demandas en las que la comunicacin de correo electrnico es mantenida en el mismo sentido que el formulario oficial de cl+sico Gldquo4documentoGrdquo4 !ace de la retencin de correspondencia electrnica una necesidad. 6odo el correo II En una organiacin donde se !a definido una l)nea base 0baseline1 de seguridad de 6I el auditor de SI debe %&I'E&? asegurar: El auditor debe primero evaluar la definicin del nivel m)nimo de l)nea base para asegurar la idoneidad de los controles. La documentacin, la implementacin y el cumplimiento son otros pasos adicionales. II %ara asegurar que una organiacin est+ cumpliendo con los requerimientos de privacidad, el auditor de SI deber)a %&I'E&? revisar: %ara asegurar que la organiacin est cumpliendo con los aspectos de privacidad, un auditor de SI deber)a tratar primero los requisitos legales y regulatorios. %ara cumplir con los requisitos legales y regulatorios, las organiaciones necesitan adoptar la infraestructura apropiada. Despus de entender los requisitos legales y regulatorios, el auditor de SI deber)a evaluar las pol)ticas, est+ndares y procedimientos II Los ob$etivos de control de 6I son *tiles para los auditores de SI, ya que ellos proveen la base para entender: 3n ob$etivo de control de 6I se define como la declaracin del resultado deseado o el propsito a ser alcanado implementando procedimientos de control en una actividad particular de 6I. Ellos proveen los ob$etivos verdaderos para implementar controles y pueden o no ser las me$ores pr+cticas. Las tcnicas son el medio de alcanar un ob$etivo, y una pol)tica de seguridad es un subcon$unto de ob$etivos de control de 6I. II El paso inicial para establecer un programa de seguridad de informacin es: 3na declaracin de pol)tica refle$a la intencin y el respaldo brindado por la gerencia e$ecutiva para una seguridad apropiada y establece un punto de inicio para desarrollar el programa de seguridad. II 3n auditor de SI que realia una revisin de los controles generales de las pr+cticas de gerencia de SI relativas al personal deber)a prestar particular atencin a: .uando se realia una revisin de los controles generales es importante que un auditor de SI preste atencin al tema de la segregacin de funciones, que est+ afectada por pr+cticas de vacaciones 7feriados. Las pol)ticas y el cumplimiento de vacaciones obligatorias puede variar dependiendo del pa)s y de la industria. Las clasificaciones del personal y las pol)ticas de compensaciones $ustas puede ser una problema moral, no II 3na organiacin que adquiere otros negocios contin*a sus sistemas !eredados de EDI, y usa tres proveedores separados de red de valor agregado 0E("1. "o e#iste ning*n acuerdo escrito de E(". El auditor de SI debe recomendar a la gerencia que: Los acuerdos escritos asistir)an a la gerencia a asegurar el cumplimiento de los requerimientos e#ternos. 'ientras que la gerencia debe obtener garant)a independiente de cumplimiento, ello no se puede lograr !asta que e#ista un contrato. 3n aspecto de administrar servicios de terceros es proveer monitoreo, sin embargo, esto no se puede lograr !asta que e#ista un contrato. (segurar que se disponga de acuerdos de II De las funciones siguientes, -cu+l es la funcin '+S importante que debe realiar la administracin de 6I cuando se !a dado un servicio para realiarse por outsourcing2 En un ambiente de outsourcing, la compa9)a depende del desempe9o del proveedor del servicio. %or esta ran, es cr)tico que se monitoree el desempe9o del proveedor de outsourcing para asegurar que ste preste a la compa9)a los servicios que se requieran. El pago de las facturas es una funcin financiera que se !ar)a por requerimientos contractuales. %articipar en el dise9o de sistemas es un subproducto del monitoreo del II -Es apropiado que un auditor de SI de una compa9)a que est+ considerando !acer outsourcing de su procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada proveedor2 La responsabilidad primaria del auditor de SI es asegurar que los activos de la compa9)a estn siendo salvaguardados. Esto es verdad incluso si los activos no residen en las premisas inmediatas. Las oficinas prestigiosas de servicio tendr+n un plan de continuidad de negocio bien dise9ado y probado. II 3na probable venta$a para una organiacin que !a efectuado outsourcing a su procesamiento de servicios de datos es que: ?utsourcing es un acuerdo contractual por el cual la organiacin entrega el control sobre una parte o sobre la totalidad del procesamiento de informacin a una parte e#terna. Esto se !ace con frecuencia para adquirir recursos o e#periencia adicionales que no se obtiene desde el interior de la organiacin. II 3n auditor de SI que revisa un contrato de outsourcing de las instalaciones de 6I esperar)a que ste defina: De las opciones, el !ard8are y el control de acceso de soft8are generalmente es irrelevante mientras la funcionalidad, disponibilidad y seguridad puedan ser afectadas, lo cual ser)a una obligacin contractual espec)fica. De manera similar, la metodolog)a de desarrollo no deber)a de real preocupacin. El contrato debe, sin embargo, especificar quin es el due9o de la propiedad intelectual 0i.e., la informacin que est+ siendo II .uando efect*a una revisin de la estructura de un sistema de transferencia electrnica de fondos 0E@61, un auditor de SI observa que la infraestructura tecnolgica est+ basada en un esquema centraliado de procesamiento que !a sido asignado 0outsourced1 a un proveedor en otro pa)s. ,asado en esta informacin, -cu+l de las siguientes conclusiones debe ser la %&I".I%(L En el proceso de transferencia de fondos, cuando el esquema de procesamiento est+ centraliado en un pa)s diferente, podr)a !aber problemas legales de $urisdiccin que pudieran afectar el derec!o a realiar una revisin en el otro pa)s. Las otras opciones, aunque posibles, no son tan relevantes como el problema de $urisdiccin legal. II 3na organiacin !a !ec!o un outsourcing de su desarrollo de soft8are. -.u+l de los siguientes es responsabilidad de la gerencia de 6I de la organiacin2 (dministrar7:estionar activamente el cumplimiento de los trminos del contrato para los servicios e#ternaliados 0outsourced1 es responsabilidad de la gerencia de 6I. El pago de facturas es una responsabilidad de finanas. La negociacin del acuerdo contractual ya !abr)a ocurrido y por lo general es una responsabilidad compartida del departamento legal y de otros departamentos, como por e$emplo 6I. II -3n auditor de SI deber)a esperar que cu+l de los siguientes elementos sean incluidos en la solicitud de propuesta 0&@%1 cuando SI est+ adquiriendo servicios de un proveedor de servicios independiente 0IS%12 El auditor de SI deber)a buscar una verificacin independiente que el IS% pueda realiar las tareas que est+n siendo contratadas. Las referencias de otros clientes proveer)an una revisin y verificacin independiente, e#terna, de procedimientos y procesos que sigue el IS% Gndas!4 aspectos que ser)an de preocupacin para el auditor de SI. Eerificar las referencias es un medio de obtener una verificacin II Los riesgos asociados con recopilar evidencia electrnica es '+S probable que se reducan, en el caso de un eCmail, por una: .on una pol)tica de registros de eCmail bien arc!ivados, es posible el acceso a o la recuperacin de registros de eC mails espec)ficos, sin revelar otros registros de eCmail confidenciales. Las pol)ticas de seguridad y7o pol)ticas de auditor)a no resolver)an la eficiencia de recuperacin de registros, y destruir eCmails puede ser un acto ilegal. II El resultado 0output1 del proceso de administracin de riesgos es un input para !acer: El proceso de administracin del riesgo trata sobre la toma de decisiones relacionadas con seguridad espec)fica, tal como el nivel de riesgo aceptable. Las opciones (, , y D no son las metas en *ltima instancia del proceso de administracin del riesgo. II 3n auditor de SI fue contratado para revisar la seguridad de un negocio electrnico 0eC business1. La primera tarea del auditor de SI fue e#aminar cada aplicacin e#istente de eCbusiness en busca de vulnerabilidades. -.u+l ser)a la siguiente tarea2 El auditor de SI debe identificar los activos, buscar vulnerabilidades, y luego identificar las amenaas y la probabilidad de que ocurran. Las opciones (, , y D deber)an ser discutidas con el director de sistemas 0.!ief Information ?fficerGmdas!4.I?1 y se deber)a entregar un reporte al director general 0.!ief E#ecutive ?fficerGmdas!4 .E?.1 El reporte deber)a incluir los !allagos $unto con las prioridades y los costos. II -.u+l de los siguientes es un mecanismo para mitigar los riesgos2 Los riesgos se mitigan implementando pr+cticas apropiadas de seguridad y de control. El seguro es un mecanismo para transferir el riesgo. La auditor)a y la certificacin son mecanismos de aseguramiento del riesgo, y los contratos y SL(s son mecanismos de asignacin de riesgo. II .uando se desarrolla un programa de administracin de riesgos, la %&I'E&( actividad que se debe realiar es: La identificacin de los activos a ser protegidos es el primer paso en el desarrollo de un programa de administracin de riesgos. 3n listado de las amenaas que pueden afectar el desempe9o de estos activos y el an+lisis de criticalidad son pasos posteriores en el proceso. La clasificacin de datos se requiere para definir los controles de acceso, y en el an+lisis de la criticalidad. II 3n equipo que lleva a cabo un an+lisis de riesgo est+ teniendo dificultad para proyectar las prdidas financieras que podr)an resultar de riesgo. %ara evaluar las prdidas potenciales el equipo deber)a: La pr+ctica com*n, cuando es dif)cil calcular las prdidas financieras, es tomar un enfoque cualitativo, en el que el gerente afectado por el riesgo define la prdida financiera en trminos de un factor ponderado 0e.g., ; es un impacto muy ba$o para el negocio y < es un impacto muy alto1. 3n &?I es computado cuando !ay a!orros o ingresos predecibles, que pueden ser comparados con la inversin que se necesita para realiar los ingresos. La II La falta de controles adecuados de seguridad representa: La falta de controles adecuados de seguridad representa una vulnerabilidad, e#poniendo informacin y datos sensitivos al riesgo de da9os maliciosos, ataque o acceso no autoriado por !acRers, que tiene como consecuencia la prdida de informacin sensitiva, que podr)a conducir a la prdida de plusval)a 0good8ill 1 para la organiacin. 3na definicin sucinta del riesgo es suministrada por las Directivas para la II -.u+l de los siguientes es el ob$etivo %&I'(&I? de un proceso de medicin de desempe9o7performancia de 6I2 3n proceso de medicin del desempe9o7performancia de 6I puede usarse para optimiar el desempe9o7performancia, medir y administrar productos 7servicios, asegurar la responsabilidad y tomar decisiones de presupuesto. 'inimiar errores es un aspecto del desempe9o7performancia, pero no es el ob$etivo primario de la administracin del II -.u+l de lo siguiente proveer)a un mecanismo por el cual la gerencia de SI puede determinar cu+ndo, y si, las actividades de la empresa se !an desviado de los niveles planeados, o de los esperados2 Los mtodos de an+lisis proveen un mecanismo, por el cual la gerencia de SI puede determinar cu+ndo y si las actividades de la organiacin se !an desviado de los niveles planeados o de los esperados. Estos mtodos incluyen los presupuestos de SI, la planeacin de la capacidad y del crecimiento, los est+ndares 7puntos de referencia de la industria, las pr+cticas de gerencia financiera y el logro de las metas. La gerencia de II .omo resultado del gobierno de seguridad de informacin, la alineacin estratgica dispone: El gobierno de seguridad de informacin, cuando est+ debidamente implementado, debe proveer cuatro resultados b+sicos. Estos son alineamiento estratgico, entrega de valor, mane$o del riesgo y medida del desempe9o. La alineacin estratgica provee datos de entrada 0input1 para los requerimientos de seguridad impulsados por los requerimientos de la empresa. La entrega de valor provee un con$unto est+ndar de pr+cticas II En una organiacin, las responsabilidades de seguridad de 6I est+n claramente asignadas y e$ecutadas y se efect*a de manera consistente un an+lisis del riesgo de la seguridad de 6I y del impacto. -5u nivel de clasificacin representa esto en el modelo de madure de gobierno de seguridad de informacin2 Las $untas directivas y la gerencia e$ecutiva pueden usar el modelo de madure de gobierno de seguridad de informacin para establecer clasificaciones para la seguridad en sus organiaciones. Los rangos son ine#istentes, iniciales, repetibles, definidos, mane$ados y optimiados. .uando las responsabilidades de la seguridad de 6I est+n claramente asignadas y e$ecutadas y se realia de manera consistente un an+lisis del riesgo II -.u+l de las siguientes me$ores pr+cticas de gobierno de 6I me$ora el alineamiento estratgico2 La alta gerencia media entre los imperativos del negocio y la tecnolog)a es una me$or pr+ctica de alineamiento estratgico de 6I. Los riesgos del proveedor y del socio que est+n siendo mane$ados es una me$or pr+ctica del mane$o del riesgo. 3na base de conocimientos de los clientes, productos, mercados y procesos que est+ instalada es una me$or pr+ctica de entrega de valor de 6I. 3na infraestructura que es suministrada para II 3n gobierno efectivo de 6I requiere estructuras y procesos organiacionales para asegurar que: 3n gobierno efectivo de 6I requiere que la $unta y la gerencia e$ecutiva e#tiendan el gobierno a 6I y provean el liderago, las estructuras y procesos organiacionales que aseguren que la 6I de la organiacin sostiene y e#tiende las estrategias y ob$etivos de la organiacin y que la estrategia est+ en armon)a con la estrategia del negocio. La opcin ( es incorrecta porque es la estrategia de 6I la que e#tiende los ob$etivos II La evaluacin de los riesgos de 6I se logra 'E>?&: %ara analiar los riesgos de 6I, es necesario evaluar las amenaas y vulnerabilidades usando mtodos cualitativos o cuantitativos de evaluacin del riesgo. Las opciones ,, . y D son potencialmente insumos *tiles para el proceso de evaluacin del riesgo, pero por s) mismas no son suficientes. ,asar una evaluacin en las prdidas pasadas no refle$ar+ de manera adecuada los cambios inevitables a los activos, II .uando e#iste preocupacin por la segregacin de funciones entre el personal de soporte y los usuarios finales, -cu+l ser)a un control compensatorio adecuado2 Slo revisar los registros de transacciones y de aplicacin directamente resuelve la amenaa planteada por la segregacin deficiente de funciones. La revisin es un medio de detector el comportamiento inapropiado y tambin disuade de uso inapropiado, porque las personas que pueden de otro modo tentarse de e#plotar la situacin est+n concientes de la probabilidad de ser atrapados. La segregacin inadecuada de funciones es II Dar responsabilidad a las unidades del negocio sobre el desarrollo de aplicaciones conducir+ '3F probablemente a: (l desarrollar aplicaciones en las unidades de negocio, los usuarios a!ora a cargo de las aplicaciones podr)an evadir los controles. Las opciones (, . y D no est+n relacionadas con, ni puede asumirse que resulten de, mover las funciones de SI a las unidades de negocio4 de !ec!o, en algunos casos, se puede asumir lo opuesto. %or e$emplo, como las personas de la unidad de negocio no tienen e#periencia en desarrollar aplicaciones, es II 3n mtodo de arriba aba$o para el desarrollo de las pol)ticas operacionales ayudar+ a asegurar: Derivar pol)ticas de nivel inferior de las pol)ticas corporativas 0un mtodo de arriba aba$o1 ayuda a asegurar consistencia en toda la organiacin y consistencia con otras pol)ticas. El mtodo de aba$o arriba para el desarrollo de las pol)ticas operativas se deriva como resultado de la evaluacin del riesgo. 3n mtodo de arriba aba$o por s) mismo no asegura que las pol)ticas sean revisadas. II 3n auditor de SI que revisa una organiacin que usa pr+cticas de entrenamiento cruado debe evaluar el riesgo de: El entrenamiento cruado es un proceso de entrenar m+s de una persona para que realice un traba$o o procedimiento espec)fico. Esta pr+ctica ayuda a reducir la dependencia de una sola persona y asiste en la planeacin de la sucesin. Esto provee el respaldo de personal en el caso de una ausencia y, de ese modo, provee la continuidad de las operaciones. Sin embargo, al usar este mtodo, es prudente !acer evaluar II -.u+l de los controles siguientes buscar)a un auditor en un entorno en el cual las funciones no pueden ser segregadas de manera apropiada2 Los controles compensatorios son controles internos que pretenden reducir el riesgo de una debilidad de control e#istente o potencial que puede surgir cuando las funciones no pueden ser segregadas de manera apropiada. Los controles que se superponen son dos controles que tratan el mismo ob$etivo o e#posicin de control. .omo los controles primarios no se pueden alcanar cuando las funciones no pueden ser o no est+n II -.u+l de lo siguiente es '(S probable que indique que un depsito de datos de cliente debe permanecer en el local en lugar de ser e#tra)do 0outsourced 1 de una operacin e#terior 0offs!ore12 Las leyes de privacidad que pro!)ben el flu$o transfronterio de informacin identificable personalmente !ar)a imposible ubicar un depsito de datos que contenga informacin de clientes en otro pa)s. Las diferencias de ona !oraria y los costos m+s elevados de las telecomunicaciones son m+s mane$ables. El desarrollo de soft8are requiere t)picamente especificaciones m+s detalladas cuando se trata de operaciones II %ara minimiar los costos y me$orar los niveles de servicio, -un outsourcer debe buscar cu+l de las siguientes cl+usulas de contrato2 .omo el outsourcer compartir+ un porcenta$e de los a!orros logrados, las bonificaciones por cumplimiento en compartir las ganancias proveen un incentive financiero para ir para superar los trminos establecidos del contrato y pueden conducir a a!orros en los costos para el cliente. Las frecuencias de las actualiaciones y las penaliaciones por incumplimiento slo estimular)an al outsourcer a que cumpla con los requerimientos II .uando una organiacin est+ seleccionando 0outsourcing1 su funcin de seguridad de informacin, -cu+l de lo siguiente debe ser conservado en la organiacin2 La responsabilidad no puede ser transferida a terceros a$enos. Las opciones ,, . y D pueden ser efectuadas por entidades e#ternas mientras la responsabilidad contin*e dentro de la organiacin. II -.u+l de los siguientes reduce el impacto potencial de los ataques de ingenier)a social2 .omo la ingenier)a social se basa en el enga9o del usuario, la me$or contramedida o defensa es un programa de conciencia de la seguridad. Las otras opciones no est+n enfocadas al usuario. II -.u+l de los siguientes provee la me$or evidencia de la adecuacin de un programa de conciencia de la seguridad2 La adecuacin del contenido de conciencia de la seguridad puede evaluarse me$or determinando si el mismo es revisado y comparado peridicamente con las me$ores pr+cticas de la industria. Las opciones (, , y . proveen medidas para medir diversos aspectos de un programa de conciencia de la seguridad, pero no ayudan a evaluar el contenido. II -.u+l de las metas siguientes esperar)a usted encontrar en el plan estratgico de una organiacin2 La planeacin estratgica pone en movimiento ob$etivos corporativos o departamentales. La planeacin compre!ensiva ayuda a asegurar una organiacin efectiva y eficiente. La planeacin estratgica est+ orientada al tiempo y a los proyectos, pero tambin debe resolver y ayudar a determinar prioridades para satisfacer las necesidades del negocio. Los planes de largo y corto plao deber)an ser consistentes con los planes II -.u+l de las siguientes me$ores pr+cticas de gobierno de 6I me$ora el alineamiento estratgico2 La alta gerencia media entre los imperativos del negocio y la tecnolog)a es una me$or pr+ctica de alineamiento estratgico de 6I. Los riesgos del proveedor y del socio que est+n siendo mane$ados es una me$or pr+ctica del mane$o del riesgo. 3na base de conocimientos de los clientes, productos, mercados y procesos que est+ instalada es una me$or pr+ctica de entrega de valor de 6I. 3na infraestructura que es suministrada para II -.u+l de lo siguiente es la 'E>?& fuente de informacin para que la administracin use como una ayuda en la identificacin de activos que est+n su$etos a las leyes y reglamentaciones2 &equisitos contractuales son una de las fuentes que deber)an ser consultadas para identificar los requerimientos para la administracin de activos de informacin. Las me$ores pr+cticas de Eendedor proveen una base para evaluar qu grado de competitividad tiene una empresa y los res*menes de incidentes de seguridad son una fuente para determinar t!e vulnerabilidades asociadas con la infraestructura II -.u+l de lo siguiente es '(S probable que indique que un depsito de datos de cliente debe permanecer en el local en lugar de ser e#tra)do 0outsourced 1 de una operacin e#terior 0offs!ore12 Las leyes de privacidad que pro!)ben el flu$o transfronterio de informacin identificable personalmente !ar)a imposible ubicar un depsito de datos que contenga informacin de clientes en otro pa)s. Las diferencias de ona !oraria y los costos m+s elevados de las telecomunicaciones son m+s mane$ables. El desarrollo de soft8are requiere t)picamente especificaciones m+s detalladas cuando se trata de operaciones II -.u+l de lo siguiente proveer)a 'E>?& garant)a de la integridad del nuevo personal2 3na investigacin de los antecedentes es el mtodo primario para asegurar la integridad de un prospectivo miembro del personal. Las referencias son importantes y ser)a necesario verificarlas, pero no son tan fiables como la investigacin de los antecedentes. La fiana est+ referenciando al cumplimiento de la debida diligencia, no a la integridad, y las calificaciones7!abilidades indicadas en un rsum7curriculum II -.u+l de lo siguiente proveer)a un mecanismo por el cual la gerencia de SI puede determinar cu+ndo, y si, las actividades de la empresa se !an desviado de los niveles planeados, o de los esperados2 Los mtodos de an+lisis proveen un mecanismo, por el cual la gerencia de SI puede determinar cu+ndo y si las actividades de la organiacin se !an desviado de los niveles planeados o de los esperados. Estos mtodos incluyen los presupuestos de SI, la planeacin de la capacidad y del crecimiento, los est+ndares 7puntos de referencia de la industria, las pr+cticas de gerencia financiera y el logro de las metas. La gerencia de II -.u+l de los controles siguientes buscar)a un auditor en un entorno en el cual las funciones no pueden ser segregadas de manera apropiada2 Los controles compensatorios son controles internos que pretenden reducir el riesgo de una debilidad de control e#istente o potencial que puede surgir cuando las funciones no pueden ser segregadas de manera apropiada. Los controles que se superponen son dos controles que tratan el mismo ob$etivo o e#posicin de control. .omo los controles primarios no se pueden alcanar cuando las funciones no pueden ser o no II -.u+l de los siguientes considerar)a un auditor de SI que es '/S importante cuando se eval*a la estrategia de una organiacin2 5ue: La planeacin estratgica pone en movimiento ob$etivos corporativos o departamentales 6anto los planes estratgicos a largo plao como a corto plao deber)an ser consistentes con los planes m+s amplios de la organiacin y los ob$etivos del negocio para alcanar estas metas. La respuesta ( es incorrecta ya que la gerencia de l)nea prepar los planes. II -.u+l de los siguientes es el '(F?& riesgo de la definicin de una pol)tica inadecuada para propiedad de datos y de sistemas2 Sin una pol)tica que defina quin tiene la responsabilidad de otorgar acceso a sistemas espec)ficos, !ay un mayor riesgo de que uno pueda obtener 0se le pueda dar a uno1 acceso al sistema cuando de !ec!o esa persona no deber)a tener autoriacin. La asignacin de autoridad para otorgar acceso a usuarios espec)ficos, implica una me$or probabilidad de que los ob$etivos del negocio ser+n debidamente respaldados. II -.u+l de los siguientes es el ob$etivo %&I'(&I? de un proceso de medicin de desempe9o7performancia de 6I2 3n proceso de medicin del desempe9o7performancia de 6I puede usarse para optimiar el desempe9o7performancia, medir y administrar productos 7servicios, asegurar la responsabilidad y tomar decisiones de presupuesto. 'inimiar errores es un aspecto del desempe9o7performancia, pero no es el ob$etivo primario de la administracin del desempe9o7performancia. II -.u+l de los siguientes es '/S cr)tico para la implementacin e#itosa y el mantenimiento de una pol)tica de seguridad2 La asimilacin de la estructura y la intencin de una pol)tica de seguridad escrita por parte de los usuarios de los sistemas es cr)tico para la implementacin e#itosa y el mantenimiento de la pol)tica de seguridad. 3no puede tener un buen sistema de contrase9a, pero si los usuarios del sistema mantienen contrase9as escritas en su mesa, el sistema de contrase9a tiene poco valor. El soporte y dedicacin de la gerencia es sin duda II -.u+l de los siguientes es un mecanismo para mitigar los riesgos2 Los riesgos se mitigan implementando pr+cticas apropiadas de seguridad y de control. El seguro es un mecanismo para transferir el riesgo. La auditor)a y la certificacin son mecanismos de aseguramiento del riesgo, y los contratos y SL(s son mecanismos de asignacin de riesgo. II -.u+l de los siguientes es un paso inicial para crear una pol)tica de fire8all2 La identificacin de las aplicaciones requeridas en toda la red debe ser identificada primero. Despus de la identificacin, dependiendo de la ubicacin f)sica de estas aplicaciones en la red y el modelo de red, la persona a cargo podr+ entender la necesidad y las posibles formas de controlar el acceso a estas aplicaciones. Identificar los mtodos para proteger contra las vulnerabilidades identificadas y su an+lisis II -.u+l de los siguientes es una funcin de un comit de direccin de SI2 El comit de direccin de SI t)picamente sirve como una $unta general de revisin para los principales proyectos de SI y no debe involucrarse en operaciones de rutina, por lo tanto, una de sus funciones es aprobar y monitorear los principales proyectos, la situacin de los planes y presupuestos de SI. El control de cambio de vendedor es un aspecto de outsourcing y debe ser monitoreado por la gerencia de SI. (segurar una separacin de funciones II -.u+l de los siguientes programas es '/S probable que una pol)tica sana de seguridad de informacin incluir)a, para mane$ar las intrusiones sospec!osas2 3na pol)tica sana de seguridad de SI es m+s probable que esboce un programa de respuesta para mane$ar las intrusiones sospec!osas. Los programas de correccin, deteccin y monitoreo son todos aspectos de seguridad de informacin, pero probablemente no ser+n incluidos en una declaracin de pol)tica de seguridad de SI. II -.u+l de los siguientes provee la me$or evidencia de la adecuacin de un programa de conciencia de la seguridad2 La adecuacin del contenido de conciencia de la seguridad puede evaluarse me$or determinando si el mismo es revisado y comparado peridicamente con las me$ores pr+cticas de la industria. Las opciones (, , y . proveen medidas para medir diversos aspectos de un programa de conciencia de la seguridad, pero no ayudan a evaluar el contenido. II -.u+l de los siguientes reduce el impacto potencial de los ataques de ingenier)a social2 .omo la ingenier)a social se basa en el enga9o del usuario, la me$or contramedida o defensa es un programa de conciencia de la seguridad. Las otras opciones no est+n enfocadas al usuario. II -.u+l de los siguientes ser)a incluido en la pol)tica de seguridad de SI de una organiacin2 La pol)tica de seguridad provee la estructura amplia de la seguridad, como !a sido dispuesta y aprobada por la alta gerencia. Incluye una definicin de las personas autoriadas para otorgar acceso y la base para otorgarlo. Las opciones (, , y . est+n m+s detalladas que lo que deber)a incluirse en una pol)tica. II -.u+l de los siguientes ser)a un control compensatorio para mitigar los riesgos resultantes de una segregacin inadecuada de funciones2 Las reconciliaciones de control de lote son un e$emplo de controles compensatorios. ?tros e$emplos de controles compensatorios son las bit+coras de transacciones, las pruebas de raonabilidad, las revisiones independientes y las pistas de auditor)a tales como bit+coras de consola, bit+coras de biblioteca y la fec!a de contabilidad del traba$o. Las verificaciones de secuencia y los d)gitos de verificacin son ediciones de II -Es apropiado que un auditor de SI de una compa9)a que est+ considerando !acer outsourcing de su procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada proveedor2 La responsabilidad primaria del auditor de SI es asegurar que los activos de la compa9)a estn siendo salvaguardados. Esto es verdad incluso si los activos no residen en las premisas inmediatas. Las oficinas prestigiosas de servicio tendr+n un plan de continuidad de negocio bien dise9ado y probado. II -5u es lo que un auditor de sistemas considerar)a '/S relevante para la planificacin de corto plao para el departamento de IS2 El departamento de IS debe considerar espec)ficamente la forma en que se asignan los recursos en el corto plao. Las inversiones en 6I necesitan estar alineadas con las estrategias principales de la administracin, en lugar de concentrarse en la tecnolog)a por la tecnolog)a en s) misma. Llevar a cabo estudios de auto evaluacin de control y evaluar las necesidades de !ard8are no es tan cr)tico como asignar los recursos durante la planificacin II -3n auditor de SI deber)a esperar que cu+l de los siguientes elementos sean incluidos en la solicitud de propuesta 0&@%1 cuando SI est+ adquiriendo servicios de un proveedor de servicios independiente 0IS%12 El auditor de SI deber)a buscar una verificacin independiente que el IS% pueda realiar las tareas que est+n siendo contratadas. Las referencias de otros clientes proveer)an una revisin y verificacin independiente, e#terna, de procedimientos y procesos que sigue el IS%Gmdas!4aspectos que ser)an de preocupacin para el auditor de SI. Eerificar las referencias es un medio de obtener una verificacin independiente de que el II (l revisar el plan de corto plao 0t+ctico1 de SI, el auditor de SI debe determinar si: La integracin de SI y del personal de negocios en los proyectos es un aspecto operativo y debe ser considerado mientras se revisa el plan de corto plao. 3n plan estratgico proveer)a un marco para el plan de corto plao de SI. Las opciones ,, . y D son +reas cubiertas por un plan estratgico. II (ntes de implementar un cuadro de mandos o marcador balanceado 0balanced scorecard1 de 6I, una organiacin debe: Se requiere una definicin de indicadores clave de desempe9o antes de implementar un cuadro de mandos o marcador balanceado 0balanced scorecard1 de 6I. Las opciones (, . y D son ob$etivos. II .omo resultado del gobierno de seguridad de informacin, la alineacin estratgica dispone: El gobierno de seguridad de informacin, cuando est+ debidamente implementado, debe proveer cuatro resultados b+sicos. Estos son alineamiento estratgico, entrega de valor, mane$o del riesgo y medida del desempe9o. La alineacin estratgica provee datos de entrada 0input1 para los requerimientos de seguridad impulsados por los requerimientos de la empresa. La entrega de valor provee un con$unto est+ndar de pr+cticas de II .on respecto al outsourcing de servicios de 6I, -cu+l de las siguientes condiciones deber)a ser de '(F?& preocupacin para un auditor de SI2 Las actividades centrales de una organiacin generalmente no deber)an ser sometidas a outsourcing porque son lo que la organiacin !ace me$or. 3n auditor que observa eso deber)a preocuparse. El auditor no deber)a preocuparse de las otras condiciones porque la especificacin de renegociacin peridica en el contrato de outsourcing es una me$or pr+ctica. "o se puede esperar que los contratos de outsourcing cubran toda accin y II .u+l de lo siguiente es el 'E>?& criterio de desempe9o para evaluar la adecuacin del entrenamiento de conocimiento de seguridad de una organiacin 2 La inclusin en descripciones de puestos de traba$o de responsabilidades de seguridad es una forma de entrenamiento de seguridad y ayuda a asegurar que el personal y la administracin estn en conocimiento de sus funciones con respecto a la seguridad de informacin. Las otras tres opciones no son criterios para evaluar el entrenamiento de conocimiento de la seguridad. .onocimiento es un criterio para evaluar la importancia que la II .uando efect*a una revisin de la estructura de un sistema de transferencia electrnica de fondos 0E@61, un auditor de SI observa que la infraestructura tecnolgica est+ basada en un esquema centraliado de procesamiento que !a sido asignado 0outsourced1 a un proveedor en otro pa)s. ,asado en esta informacin, -cu+l de las siguientes conclusiones debe ser la %&I".I%(L preocupacin En el proceso de transferencia de fondos, cuando el esquema de procesamiento est+ centraliado en un pa)s diferente, podr)a !aber problemas legales de $urisdiccin que pudieran afectar el derec!o a realiar una revisin en el otro pa)s. Las otras opciones, aunque posibles, no son tan relevantes como el problema de $urisdiccin legal. II .uando e#iste preocupacin por la segregacin de funciones entre el personal de soporte y los usuarios finales, -cu+l ser)a un control compensatorio adecuado2 Slo revisar los registros de transacciones y de aplicacin directamente resuelve la amenaa planteada por la segregacin deficiente de funciones. La revisin es un medio de detector el comportamiento inapropiado y tambin disuade de uso inapropiado, porque las personas que pueden de otro modo tentarse de e#plotar la situacin est+n concientes de la probabilidad de ser atrapados. La segregacin inadecuada de funciones es m+s II .uando revisa el proceso de planeacin estratgica de 6I, un auditor de SI debe asegurarse de que el plan: El plan estratgico de 6I debe incluir una clara articulacin de la misin y de la visin de 6I. El plan no necesita ocuparse de la tecnolog)a, los controles operativos o las pr+cticas de administracin de proyectos. II .uando se desarrolla un programa de administracin de riesgos, la %&I'E&( actividad que se debe realiar es: La identificacin de los activos a ser protegidos es el primer paso en el desarrollo de un programa de administracin de riesgos. 3n listado de las amenaas que pueden afectar el desempe9o de estos activos y el an+lisis de criticalidad son pasos posteriores en el proceso. La clasificacin de datos se requiere para definir los controles de acceso, y en el an+lisis de la criticalidad. II .uando se !a dise9ado una pol)tica de seguridad de informacin, lo '/S importante es que la pol)tica de seguridad de informacin sea: %ara ser efectiva, una pol)tica de seguridad de informacin deber)a llegar a todos los miembros del personal. (lmacenar la pol)tica de seguridad fuera del sitio o en un lugar seguro puede ser aconse$able pero de poco valor si su contenido no es conocido por los empleados de la organiacin. La pol)tica de seguridad de informacin deber)a ser escrita por los gerentes de unidad de negocios incluyendo SI, pero no e#clusivamente por II .uando se revisan las estrategias de SI, el auditor de SI puede determinar 'E>?& si la estrategia de SI soporta los ob$etivos de negocio de las organiaciones determinando si SI: Determinar si el plan de SI es consistente con la estrategia de la gerencia relaciona la planificacin de SI76I con los planes del negocio. Las opciones (, . y D son mtodos efectivos para determinar si los planes de SI est+n en armon)a con los ob$etivos del negocio y con las estrategias de la organiacin. II .uando un empleado es despedido de su servicio, la accin '/S importante es: E#iste una probabilidad de que un empleado despedido pueda !acer mal uso de los derec!os de acceso, por lo tanto, in!abilitar el acceso lgico de un empleado terminado es la accin m+s importante que se debe emprender. 6odo el traba$o del empleado terminado necesita ser entregado a un empleado designado, sin embargo, esto debe efectuarse despus de implementar la opcin D. Se debe !acer copia de respaldo II .uando una organiacin est+ seleccionando 0outsourcing1 su funcin de seguridad de informacin, -cu+l de lo siguiente debe ser conservado en la organiacin2 La responsabilidad no puede ser transferida a terceros a$enos. Las opciones ,, . y D pueden ser efectuadas por entidades e#ternas mientras la responsabilidad contin*e dentro de la organiacin. II Dar responsabilidad a las unidades del negocio sobre el desarrollo de aplicaciones conducir+ '3F probablemente a: (l desarrollar aplicaciones en las unidades de negocio, los usuarios a!ora a cargo de las aplicaciones podr)an evadir los controles. Las opciones (, . y D no est+n relacionadas con, ni puede asumirse que resulten de, mover las funciones de SI a las unidades de negocio4 de !ec!o, en algunos casos, se puede asumir lo opuesto. %or e$emplo, como las personas de la unidad de negocio no tienen e#periencia en desarrollar aplicaciones, es II De las funciones siguientes, -cu+l es la funcin '/S importante que debe realiar la administracin de 6I cuando se !a dado un servicio para realiarse por outsourcing2 En un ambiente de outsourcing, la compa9)a depende del desempe9o del proveedor del servicio. %or esta ran, es cr)tico que se monitoree el desempe9o del proveedor de outsourcing para asegurar que ste preste a la compa9)a los servicios que se requieran. El pago de las facturas es una funcin financiera que se !ar)a por requerimientos contractuales. %articipar en el dise9o de sistemas es un subproducto del monitoreo del II De lo siguiente, el elemento '/S importante para la implementacin e#itosa del gobierno de 6I es: El ob$etivo clave de un programa de gobierno de 6I es dar soporte al negocio4 de ese modo, es necesaria la identificacin de estrategias organiacionales para asegurar la alineacin entre 6I y el gobierno corporativo. Sin identificacin de estrategias organiacionales, las opciones restantes, a*n si fueran implementadas, ser)an inefectivas. II Desde una perspectiva de control, el elemento clave en las descripciones de traba$os es que: Desde una perspectiva de control, la descripcin de un traba$o debe establecer responsabilidad y deber de reportar7imputabilidad 0accountability1. Esto ayudar+ a asegurar que se d a los usuarios acceso al sistema en conformidad con las responsabilidades definidas de su traba$o.Las otras opciones no est+n directamente relacionadas con los controles. %roveer instrucciones sobre cmo !acer el traba$o y definir la autoridad, II Durante el curso de una auditor)a, un auditor de SI observa que las funciones no est+n debidamente segregadas. En una circunstancia seme$ante, el (uditor de SI deber)a buscar: .ontroles compensatorios son controles que pretenden reducir el riesgo de una debilidad de control e#istente o potencial cuando las funciones no pueden ser correctamente segregadas. Los controles traslapados se complementan entre s) y complementan los controles e#istentes pero no resuelven los riesgos asociados con una segregacin inadecuada de las funciones y no pueden ser usados en situaciones donde las funciones no II El cuadro de mandos o marcador balanceado 0balanced scorecard1 de 6I es una !erramienta de gobierno del negocio que est+ destinada a monitorear los indicadores de evaluacin del desempe9o 0performance1 de 6I aparte de: Los resultados financieros !an sido tradicionalmente la *nica medida general de desempe9o. El cuadro de mandos o marcador balanceado de 6I 0,S.1 es una !erramienta de gobierno del negocio de 6I dirigida a monitorear los indicadores de evaluacin del desempe9o de 6I adem+s de los resultados financieros. El ,S. de 6I considera otros factores clave de #ito, tales como la satisfaccin del cliente, la capacidad de II El desarrollo de una pol)tica de seguridad de SI es resposabilidad de: ( diferencia de otras pol)ticas corporativas, el marco de la pol)tica de seguridad de sistemas es responsabilidad de la direccin general, la $unta directiva. El departamento de SI es responsable de la e$ecucin de la pol)tica, no teniendo ninguna autoridad en el enmarcado de la pol)tica. El comit de seguridad tambin funciona dentro de la amplia pol)tica de seguridad definida por la $unta directiva. El administrador de la II El efecto '/S probable de la falta de participacin de la alta gerencia en la planeacin estratgica de 6I es: Debe e#istir un comit de seguimiento para asegurar que las estrategias de 6I soporten las metas de la organiacin. La ausencia de un comit de tecnolog)a de informacin o un comit no compuesto de altos gerentes ser)a una indicacin de falta de participacin de la alta gerencia. Esta condicin aumentar)a el riesgo de que 6I no est a la altura de la estrategia de la organiacin. II El gobierno de 6I es %&I'(&I('E"6E responsabilidad del: El gobierno de 6I es primariamente responsabilidad de los e$ecutivos y de los accionistas 0representados por la $unta directiva Mboard of directors.U1 El director general es instrumental para implementar el gobierno de 6I en conformidad con las instrucciones de la $unta directiva. El comit de seguimiento de 6I monitorea y facilita el despliegue de los recursos de 6I para proyectos espec)ficos en soporte de los planes de negocio. El II El gobierno efectivo de 6I asegurar+ que el plan de 6I sea consistente con el: %ara gobernar 6I eficamente, 6I y el negocio deben moverse en la misma direccin, requiriendo que los planes de 6I estn alineados con los planes de negocio de una organiacin. Los planes de auditor)a y de inversin no forman parte del plan de 6I y el plan de seguridad debe ser al nivel corporativo. II El ob$etivo %&I'(&I? de una auditor)a de las pol)ticas de seguridad de 6I es asegurar que: La orientacin del negocio debe ser el tema principal al implementar la seguridad. %or ello, una auditor)a de las pol)ticas de seguridad de 6I debe primordialmente concentrarse en si las pol)ticas de seguridad y control de 6I y relacionadas respaldan los ob$etivos del negocio y de 6I. &evisar si las pol)ticas est+n disponibles para todos es un ob$etivo, pero la distribucin no asegura el cumplimiento. La disponibilidad de II El paso inicial para establecer un programa de seguridad de informacin es: 3na declaracin de pol)tica refle$a la intencin y el respaldo brindado por la gerencia e$ecutiva para una seguridad apropiada y establece un punto de inicio para desarrollar el programa de seguridad. II El resultado 0output1 del proceso de administracin de riesgos es un input para !acer: El proceso de administracin del riesgo trata sobre la toma de decisiones relacionadas con seguridad espec)fica, tal como el nivel de riesgo aceptable. Las opciones (, , y D no son las metas en *ltima instancia del proceso de administracin del riesgo. II En una organiacin donde se !a definido una l)nea base 0baseline1 de seguridad de 6I el auditor de SI debe %&I'E&? asegurar: El auditor debe primero evaluar la definicin del nivel m)nimo de l)nea base para asegurar la idoneidad de los controles. La documentacin, la implementacin y el cumplimiento son otros pasos adicionales. II En una organiacin, las responsabilidades de seguridad de 6I est+n claramente asignadas y e$ecutadas y se efect*a de manera consistente un an+lisis del riesgo de la seguridad de 6I y del impacto. -5u nivel de clasificacin representa esto en el modelo de madure de gobierno de seguridad de informacin2 Las $untas directivas y la gerencia e$ecutiva pueden usar el modelo de madure de gobierno de seguridad de informacin para establecer clasificaciones para la seguridad en sus organiaciones. Los rangos son ine#istentes, iniciales, repetibles, definidos, mane$ados y optimiados. .uando las responsabilidades de la seguridad de 6I est+n claramente asignadas y e$ecutadas y se realia de manera consistente un an+lisis del riesgo y del impacto II Establecer el nivel de riesgo aceptable es responsabilidad de: La alta gerencia deber)a establecer el nivel de riesgo aceptable, ya que ellos son los responsables en *ltima instancia o los responsables finales de la operacin efectiva y eficiente de la organiacin. Las opciones (, . y D deber)an actuar como asesores de la alta gerencia para determinar un nivel aceptable de riesgo. II La administracin de una organiacin !a decidido establecer un programa de conocimiento de la seguridad. -.u+l de los siguientes es '/S probable que sea parte del programa2 3tiliar un sistema de deteccin de intrusos para reportar sobre los incidentes que ocurren es una implementacin de un programa de seguridad y no es efectivo para establecer un programa de conocimiento de la seguridad. Las opciones , y . no resuelven el conocimiento. El entrenamiento es la *nica opcin que est+ dirigida al conocimiento de la seguridad. II La evaluacin de los riesgos de 6I se logra 'E>?&: %ara analiar los riesgos de 6I, es necesario evaluar las amenaas y vulnerabilidades usando mtodos cualitativos o cuantitativos de evaluacin del riesgo. Las opciones ,, . y D son potencialmente insumos *tiles para el proceso de evaluacin del riesgo, pero por s) mismas no son suficientes. ,asar una evaluacin en las prdidas pasadas no refle$ar+ de manera adecuada los cambios inevitables a los activos, proyectos, controles de 6I y al entorno estratgico de la empresa. %robablemente tambin !ay problemas con el alcance y la calidad de los datos de prdida disponibles a ser evaluados. Las organiaciones comparables tendr+n diferencias en sus activos de 6I, entorno de control y circunstancias estratgicas. De a!) que su e#periencia de prdida II La falta de controles adecuados de seguridad representa: La falta de controles adecuados de seguridad representa una vulnerabilidad, e#poniendo informacin y datos sensitivos al riesgo de da9os maliciosos, ataque o acceso no autoriado por !acRers, que tiene como consecuencia la prdida de informacin sensitiva, que podr)a conducir a la prdida de plusval)a 0good8ill 1 para la organiacin. 3na definicin sucinta del riesgo es suministrada por las Directivas para la II La funcin de establecimiento del libro mayor7mayor general 0general ledger1 en un paquete empresarial 0E&%1 permite fi$ar per)odos contables. El acceso a esta funcin !a sido permitido a los usuarios en finanas, almacn e ingreso de rdenes. La ran '/S probable para dic!o amplio acceso es: El establecimiento de per)odos contables es una de las actividades cr)ticas de la funcin de finanas. ?torgar acceso a esta funcin al personal en el almacn y en el ingreso de rdenes podr)a ser a causa de una falta de pol)ticas y procedimientos apropiados para la segregacin adecuada de funciones. Los per)odos contables no deber)an ser cambiados a intervalos regulares, sino que se deber)an establecer de manera permanente. El requerimiento de registrar las entradas por un per)odo contable cerrado es un riesgo. Si fuera necesario, esto II La participacin de la alta gerencia es '/S importante en el desarrollo de: Los planes estratgicos proveen la base para asegurar que la empresa cumpla sus metas y ob$etivos. La participacin de la alta gerencia es cr)tica para asegurar que el plan logra de manera adecuada las metas y ob$etivos establecidos. Las pol)ticas de SI, procedimientos, normas y lineamientos est+n todos estructurados para soportar el plan estratgico general. II La velocidad de cambio de la tecnolog)a aumenta la importancia de: El cambio requiere que se implementen y e$ecuten buenos procesos de administracin de cambios. Dacer un outsourcing a la funcin de SI no est+ directamente relacionado con la velocidad de cambio tecnolgico. El personal en un departamento t)pico de SI est+ altamente calificado y educado, por lo general no siente que sus puestos de traba$o estn en riesgo y est+n preparados para cambiar de traba$o con frecuencia. II La venta$a de un mtodo de aba$o !acia arriba para el desarrollo de pol)ticas organiativas es que las pol)ticas: 3n mtodo de aba$o !acia arriba comiena por definir los requerimientos y pol)ticas de nivel operativo, que se derivan y se implementan como el resultado de evaluaciones de riesgo. Las pol)ticas a nivel de la empresa se desarrollan posteriormente con base en una s)ntesis de las pol)ticas operativas e#istentes. Las opciones (, . y D son venta$as de un mtodo de arriba !acia aba$o para desarrollar pol)ticas organiativas. Este mtodo asegura que II Los ob$etivos de control de 6I son *tiles para los auditores de SI, ya que ellos proveen la base para entender: 3n ob$etivo de control de 6I se define como la declaracin del resultado deseado o el propsito a ser alcanado implementando procedimientos de control en una actividad particular de 6I. Ellos proveen los ob$etivos verdaderos para implementar controles y pueden o no ser las me$ores pr+cticas. Las tcnicas son el medio de alcanar un ob$etivo, y una pol)tica de seguridad es un subcon$unto de ob$etivos de control de 6I. II Los riesgos asociados con recopilar evidencia electrnica es '/S probable que se reducan, en el caso de un eCmail, por una: .on una pol)tica de registros de eCmail bien arc!ivados, es posible el acceso a o la recuperacin de registros de eC mails espec)ficos, sin revelar otros registros de eCmail confidenciales. Las pol)ticas de seguridad y7o pol)ticas de auditor)a no resolver)an la eficiencia de recuperacin de registros, y destruir eCmails puede ser un acto ilegal. II 'ientras realia una auditor)a de un proveedor de servicio, el (uditor de SI observa que el proveedor de servicio !a sometido a outsourcing una parte del traba$o a otro proveedor. .omo el traba$o implica el uso de informacin confidencial, la preocupacin %&I'(&I( del (uditor de SI debe ser que: 'uc!os pa)ses !an establecido reglamentaciones para proteger la confidencialidad de informacin que se mantiene en sus pa)ses y7o que es intercambiada con otros pa)ses. Donde el proveedor de servicio !a sometido a outsourcing una parte de sus servicios a otro proveedor de servicios, !ay un riesgo potencial de que la confidencialidad de la informacin quede comprometida. Las opciones , y . podr)an ser preocupaciones pero II 'uc!as organiaciones requieren que todos los empleados toman una vacacin obligatoria de una semana o m+s para: Las vacaciones requeridas de una semana o m+s de duracin en la que alguien que no sea el empleado regular realice la funcin del puesto de traba$o es a menudo obligatoria para las posiciones importantes. Esto reduce la oportunidad de cometer actos indebidos o ilegales, y durante este tiempo puede ser posible descubrir cualquier actividad fraudulenta que estuviera ocurriendo. Las opciones (, . y D todas podr)an II %ara asegurar que una organiacin est+ cumpliendo con los requerimientos de privacidad, el auditor de SI deber)a %&I'E&? revisar: %ara asegurar que la organiacin est cumpliendo con los aspectos de privacidad, un auditor de SI deber)a tratar primero los requisitos legales y regulatorios. %ara cumplir con los requisitos legales y regulatorios, las organiaciones necesitan adoptar la infraestructura apropiada. Despus de entender los requisitos legales y regulatorios, el auditor de SI deber)a evaluar las pol)ticas, est+ndares y procedimientos II %ara asistir a una organiacin en la planeacin de las inversiones de 6I, el (uditor de SI deber)a recomendar el uso de: La arquitectura de empresa 0E(1 implica documentar los activos y procesos de 6I de la organiacin en una forma estructurada para facilitar la comprensin, administrar y planear las inversiones de 6I. Ello implica tanto un estado corriente como una representacin de un futuro estado optimiado. (l tratar de completar una E(, las organiaciones pueden resolver el problema ya sea desde una perspectiva de tecnolog)a o II %ara ayudar a la administracin a alcanar la alineacin entre 6I y el negocio, un auditor de SI deber)a recomendar el uso de: 3n scorecard balanceado de 6I provee el puente entre los ob$etivos de 6I y los ob$etivos del negocio suplementando la evaluacin financiera tradicional con medidas para evaluar la satisfaccin del cliente, los procesos internos y la capacidad de innovar. La autoevaluacin del control, el an+lisis del impacto sobre el negocio y la reingenier)a del proceso de negocio son insuficientes para alinear a 6I con los ob$etivos II %ara lograr entender la efectividad de la planeacin y la administracin de inversiones en activos de 6I de una organiacin, un auditor de SI deber)a revisar: 6!e scorecard balanceado de 6I es una !erramienta que provee el puente entre los ob$etivos de 6I y los ob$etivos del negocio complementando la evaluacin financiera tradicional con medidas para evaluar la satisfaccin del cliente, los procesos internos y la capacidad de innovar. 3n modelo de datos de empresa es un documento que define la estructura de datos de una organiacin y la forma en que se interrelacionan los datos. Es *til pero no provee informacin sobre las inversiones. La estructura organiativa de 6I provee una visin general de las II %ara minimiar los costos y me$orar los niveles de servicio, -un outsourcer debe buscar cu+l de las siguientes cl+usulas de contrato2 .omo el outsourcer compartir+ un porcenta$e de los a!orros logrados, las bonificaciones por cumplimiento en compartir las ganancias proveen un incentive financiero para ir para superar los trminos establecidos del contrato y pueden conducir a a!orros en los costos para el cliente. Las frecuencias de las actualiaciones y las penaliaciones por incumplimiento slo estimular)an al outsourcer a que cumpla con los requerimientos II %ara resolver el riesgo de falta del personal de operaciones para efectuar la copia de respaldo diaria, la administracin requiere que el administrador de sistemas firme la salida en la copia de respaldo diaria. Este es un e$emplo de riesgo: 'itigacin es la estrategia que dispone la definicin e implementacin de los controles para resolver el riesgo descrito. %revencin es una estrategia que dispone no implementar ciertas actividades o procesos que incurrir)an en mayor riesgo. 6ransferencia es la estrategia que dispone compartir el riesgo con socios o tomar cobertura de seguro. (ceptacin es una estrategia que dispone el reconocimiento formal de la e#istencia II %ara soportar las metas de una organiacin, el departamento de SI debe tener: %ara asegurar su contribucin a la realiacin de las metas generales de una organiacin, el departamento de SI debe tener planes de largo y corto plao que sean consistentes con los planes m+s amplios de la organiacin para alcanar sus metas. Las opciones ( y . son ob$etivos, y se necesitar)an planes para delinear cmo se alcanar)a cada uno de los ob$etivos. La opcin D podr)a ser parte del plan general pero se requerir)a solamente II 3n administrador de base de datos est+ realiando las siguientes actividades, -cu+l de stas deber)a ser realiada por una persona diferente2 .omo los registros de actividad de la base de datos registran actividades realiadas por el administrador de la base de datos, su eliminacin deber)a ser efectuada por una persona que no sea el administrador de la base de datos. Este es un control compensatorio para ayudar a asegurar que una segregacin apropiada de las funciones est asociada con la funcin del administrador de la base de datos. 3n administrador de base II 3n administrador de L(" estar)a normalmente restringido de: 3n administrador de L(" no deber)a tener responsabilidades de programacin pero puede tener responsabilidades de usuario final. El administrador de L(" puede reportarse al director de la I%@ o, en una operacin descentraliada, al gerente de usuario final. En las organiaciones peque9as, el administrador de L(" puede tambin ser responsable de la administracin de seguridad del L(". II 3n auditor de SI deber)a preocuparse cuando un analista de telecomunicacin: Las responsabilidades de un analista de telecomunicaciones incluyen requerimientos de carga de red en trminos de vol*menes corrientes y futuros de transacciones 0opcin ,1, evaluar el impacto de la carga de red o los tiempos de respuesta de las terminales y las velocidades de transferencia de datos de red 0opcin .1 y recomendar procedimientos y me$oras de balanceo de red 0opcin D1. 'onitorear el desempe9o II 3n auditor de SI encuentra que no todos los empleados tienen conocimiento de la pol)tica de seguridad de informacin de la empresa. El auditor de SI debe concluir que: 6odos los empleados deben tener conocimiento de la pol)tica de seguridad de la empresa para prevenir la revelacin no intencional de informacin sensitiva. La capacitacin es un control preventivo. Los programas de concientiacin de la seguridad para los empleados puede prevenir la revelacin no intencional de informacin sensitiva a personas a$enas. II 3n auditor de SI fue contratado para revisar la seguridad de un negocio electrnico 0eC business1. La primera tarea del auditor de SI fue e#aminar cada aplicacin e#istente de eCbusiness en busca de vulnerabilidades. -.u+l ser)a la siguiente tarea2 El auditor de SI debe identificar los activos, buscar vulnerabilidades, y luego identificar las amenaas y la probabilidad de que ocurran. Las opciones (, , y D deber)an ser discutidas con el director de sistemas 0.!ief Information ?fficerC.I?1 y se deber)a entregar un reporte al director general 0.!ief E#ecutive ?fficerC .E?.1 El reporte deber)a incluir los !allagos $unto con las prioridades y los costos. II 3n auditor de SI que realia una revisin de los controles generales de las pr+cticas de gerencia de SI relativas al personal deber)a prestar particular atencin a: .uando se realia una revisin de los controles generales es importante que un auditor de SI preste atencin al tema de la segregacin de funciones, que est+ afectada por pr+cticas de vacaciones 7feriados. Las pol)ticas y el cumplimiento de vacaciones obligatorias puede variar dependiendo del pa)s y de la industria. Las clasificaciones del personal y las pol)ticas de compensaciones $ustas puede ser una problema moral, no un II 3n auditor de SI que revisa el plan estratgico de 6I de una organiacin deber)a %&I'E&? revisar: El plan estratgico de 6I e#iste para respaldar el plan de negocios de la organiacin. %ara evaluar el plan estratgico de 6I, el auditor de SI necesitar)a primero familiariarse con el plan de negocios. II 3n auditor de SI que revisa un contrato de outsourcing de las instalaciones de 6I esperar)a que ste defina: De las opciones, el !ard8are y el control de acceso de soft8are generalmente es irrelevante mientras la funcionalidad, disponibilidad y seguridad puedan ser afectadas, lo cual ser)a una obligacin contractual espec)fica. De manera similar, la metodolog)a de desarrollo no deber)a de real preocupacin. El contrato debe, sin embargo, especificar quin es el due9o de la propiedad intelectual 0i.e., la informacin que est+ siendo II 3n auditor de SI que revisa una organiacin que usa pr+cticas de entrenamiento cruado debe evaluar el riesgo de: El entrenamiento cruado es un proceso de entrenar m+s de una persona para que realice un traba$o o procedimiento espec)fico. Esta pr+ctica ayuda a reducir la dependencia de una sola persona y asiste en la planeacin de la sucesin. Esto provee el respaldo de personal en el caso de una ausencia y, de ese modo, provee la continuidad de las operaciones. Sin embargo, al usar este mtodo, es prudente !acer evaluar II 3n auditor !a sido asignado para revisar las estructuras de 6I y las actividades recientemente seleccionadas 0outsourced1 para diversos proveedores. -.u+l de lo siguiente deber)a el (uditor de SI determinar %&I'E&?2 La comple$idad de las estructuras de 6I igualada por la comple$idad y entre$uego de responsabilidades y garant)as puede afectar o invalidar la efectividad de esas garant)as y la certea raonable de que las necesidades del negocio ser+n cubiertas. 6odas las otras opciones son importantes, pero no tan potencialmente peligrosas como el entre$uego de las +reas diversas y cr)ticas de responsabilidad contractual de los outsourcers. II 3n comit de direccin de SI debe: Es importante llevar las actas detalladas de los comits de direccin para documentar las decisiones y las actividades del comit de direccin de SI, y la $unta directiva debe ser informada a su debido tiempo. La opcin ( es incorrecta porque slo la gerencia principal o los niveles altos del personal deben ser miembros de este comit debido a su misin estratgica. La opcin , no es una responsabilidad de este comit II 3n comit de seguimiento de 6I revisar)a los sistemas de informacin %&I'(&I('E"6E para determinar: La funcin de un comit de seguimiento de 6I es asegurar que el departamento de SI est en armon)a con la misin y los ob$etivos de la organiacin. %ara asegurar esto, el comit debe determinar si los procesos de 6I soportan los requerimientos del negocio. (naliar la funcionalidad adicional propuesta, y evaluar tanto la estabilidad del soft8are como la comple$idad de la tecnolog)a, son aspectos demasiado estrec!os en su II 3n e$emplo de un beneficio directo a derivarse de una propuesta inversin de negocio relacionada con 6I es: 3n caso comprensivo de negocio para cualquier inversin de negocio propuesta relacionada con 6I deber)a tener beneficios de negocio claramente definidos para permitir el c+lculo de los beneficios. Estos beneficios por lo general caen en dos categor)as: directos e indirectos o suaves. Los beneficios directos por lo general comprenden los beneficios financieros cuantificables que se espera que el nuevo sistema genere. Los beneficios II 3n empleado de SI de largo plao que cuenta con un antecedente tcnico fuerte y con amplia e#periencia gerencial !a aplicado para una posicin vacante en el departamento de auditor)a de SI. La determinacin de si se debe contratar a esta persona para esta posicin deber)a basarse en la e#periencia de la persona y en: La independencia deber)a ser constantemente evaluada por el auditor y la gerencia. Esta evaluacin deber)a considerar factores tales como las relaciones personales, los intereses financieros y previas asignaciones y responsabilidades del puesto de traba$o. El !ec!o que el empleado !aya traba$ado en SI por muc!os a9os no puede por s) mismo asegurar la credibilidad. Las necesidades del departamento de auditor)a deber)an II 3n equipo que lleva a cabo un an+lisis de riesgo est+ teniendo dificultad para proyectar las prdidas financieras que podr)an resultar de riesgo. %ara evaluar las prdidas potenciales el equipo deber)a: La pr+ctica com*n, cuando es dif)cil calcular las prdidas financieras, es tomar un enfoque cualitativo, en el que el gerente afectado por el riesgo define la prdida financiera en trminos de un factor ponderado 0e.g., ; es un impacto muy ba$o para el negocio y < es un impacto muy alto1. 3n &?I es computado cuando !ay a!orros o ingresos predecibles, que pueden ser comparados con la inversin que se necesita para realiar los ingresos. La amortiacin se usa en un estado de ganancias y prdidas, no para computar las prdidas potenciales. Emplear II 3n gobierno efectivo de 6I requiere estructuras y procesos organiacionales para asegurar que: 3n gobierno efectivo de 6I requiere que la $unta y la gerencia e$ecutiva e#tiendan el gobierno a 6I y provean el liderago, las estructuras y procesos organiacionales que aseguren que la 6I de la organiacin sostiene y e#tiende las estrategias y ob$etivos de la organiacin y que la estrategia est+ en armon)a con la estrategia del negocio. La opcin ( es incorrecta porque es la estrategia de 6I la que e#tiende los II 3n mtodo de arriba aba$o para el desarrollo de las pol)ticas operacionales ayudar+ a asegurar: Derivar pol)ticas de nivel inferior de las pol)ticas corporativas 0un mtodo de arriba aba$o1 ayuda a asegurar consistencia en toda la organiacin y consistencia con otras pol)ticas. El mtodo de aba$o arriba para el desarrollo de las pol)ticas operativas se deriva como resultado de la evaluacin del riesgo. 3n mtodo de arriba aba$o por s) mismo no asegura que las pol)ticas sean revisadas. II 3na opcin deficiente de contrase9as y transmisin a travs de l)neas de comunicacin no protegidas son e$emplos de: Las vulnerabilidades representan caracter)sticas de recursos de informacin que pueden ser e#plotados por una amenaa. Las amenaas son circunstancias o eventos con el potencial de causar da9o a los recursos de informacin, las probabilidades representan la probabilidad de que ocurra una amenaa y los impactos representan el efecto o resultado de una amenaa que e#plota una vulnerabilidad. II 3na organiacin !a !ec!o un outsourcing de su desarrollo de soft8are. -.u+l de los siguientes es responsabilidad de la gerencia de 6I de la organiacin2 (dministrar7:estionar activamente el cumplimiento de los trminos del contrato para los servicios e#ternaliados 0outsourced1 es responsabilidad de la gerencia de 6I. El pago de facturas es una responsabilidad de finanas. La negociacin del acuerdo contractual ya !abr)a ocurrido y por lo general es una responsabilidad compartida del departamento legal y de otros departamentos, como por e$emplo 6I. II 3na organiacin que adquiri otros negocios contin*a utiliando sus sistemas !eredados de EDI, y usa tres proveedores separados de red de valor agregado 0E("1. "o e#iste ning*n acuerdo escrito para la E(". El auditor de SI debe recomendar a la gerencia que: Los acuerdos escritos asistir)an a la gerencia a asegurar el cumplimiento de los requerimientos e#ternos. 'ientras que la gerencia debe obtener garant)a independiente de cumplimiento, ello no se puede lograr !asta que e#ista un contrato. 3n aspecto de administrar servicios de terceros es proveer monitoreo, sin embargo, esto no se puede lograr !asta que e#ista un contrato. (segurar que se disponga de acuerdos de E(" para II 3na pol)tica e#!austiva y efectiva de correo electrnico deber)a resolver los problemas de estructura de correo electrnico, e$ecucin de pol)ticas, monitoreo y: (dem+s de ser una buena pr+ctica, las leyes y regulaciones pueden requerir que una organiacin mantenga informacin que tenga un impacto en los estados financieros. La prevalencia de demandas en las que la comunicacin de correo electrnico es mantenida en el mismo sentido que el formulario oficial de cl+sico Gldquo4documentoGrdquo4 !ace de la retencin de correspondencia electrnica una necesidad. 6odo el correo electrnico generado en el !ard8are de una organiacin es propiedad de la organiacin y una pol)tica de correo electrnico debe resolver la retencin de mensa$es, considerando tanto los litigios conocidos como los impredecibles. La pol)tica deber)a tambin ocuparse de la destruccin de correos electrnicos despus de un tiempo especificado para proteger la naturalea y la confidencialidad de los mensa$es mismos. .onsiderar el tema de la retencin en la pol)tica de correo electrnico facilitar)a la recuperacin, reconstruccin y reutiliacin. II 3na probable venta$a para una organiacin que !a efectuado outsourcing a su procesamiento de servicios de datos es que: ?utsourcing es un acuerdo contractual por el cual la organiacin entrega el control sobre una parte o sobre la totalidad del procesamiento de informacin a una parte e#terna. Esto se !ace con frecuencia para adquirir recursos o e#periencia adicionales que no se obtiene desde el interior de la organiacin. II La falta de controles adecuados de seguridad representa: La falta de controles adecuados de seguridad representa una vulnerabilidad, e#poniendo informacin y datos sensitivos al riesgo de da9os maliciosos, ataque o acceso no autoriado por !acRers, que tiene como consecuencia la prdida de informacin sensitiva, que podr)a conducir a la prdida de plusval)a 0good8ill 1 para la organiacin. 3na definicin suscinta del riesgo es suministrada por las Directivas para la :erencia de Seguridad de 6I publicadas por la ?rganiacin Internacional para la Estandariacin 0IS?1, que define el riesgo como el =potencial de que una cierta amenaa se aprovec!e de la vulnerabilidad de un activo o de un grupo de activos para causar prdida o da9o a los activos.= Los diversos elementos de la definicin son vulnerabilidad, amenaa, activo e impacto. La falta de una funcionalidad adecuada de seguridad en este conte#to es una vulnerabilidad.