Preguntas Modulo I y II

Pregunta Reespuesta adecuada
I Despus de la investigacin inicial, un auditor de SI

tiene motivos para creer que puede estar en presencia
de fraude. El auditor de SI debe:
Las responsabilidades de un auditor de SI de detectar el fraude incluye evaluar los indicadores de fraude y decidir si es necesaria alguna accin
adicional o si se debe recomendar una investigacin. El auditor de SI debe notificar a las autoridades apropiadas dentro de la organiacin
solamente si !a determinado que los indicadores de fraude son suficientes para recomendar una investigacin. "ormalmente, el auditor de SI
no tiene autoridad para consultar con un asesor legal e#terno.
I La venta$a %&I'(&I( de un enfoque continuo de
auditor)a es que:
El uso de tcnicas continuas de auditor)a puede en realidad me$orar la seguridad del sistema cuando se usa en entornos que
comparten el tiempo que procesan un gran n*mero de transacciones, pero de$an muy pocas pistas de papel. La opcin ( es incorrecta
ya que el enfoque de auditor)a continua a menudo requiere que un auditor de SI recolecte evidencia sobre la confiabilidad del sistema
mientras est+ llevando a cabo el procesamiento. La opcin , es incorrecta ya que un auditor de SI normalmente revisar)a y dar)a
seguimiento slo a las deficiencias materiales o errores detectados. La opcin D es incorrecta ya que el uso de tcnicas de auditor)a
continua depende efectivamente de la comple$idad de los sistemas de computadora de una organiacin.
I
-.u+l de las opciones siguientes es la tcnica de
auditor)a '/S efectiva para identificar violaciones
a la segregacin de funciones en una nueva
implementacin de un sistema de planificacin de
recursos de empresa 0E&%12
Debido a que el ob$etivo es identificar violaciones a la segregacin de funciones, es necesario definir la lgica que identificar+ los
conflictos en la autoriacin. Se podr)a desarrollar un programa para identificar estos conflictos. 3n informe de derec!os de seguridad en el
sistema de planificacin de los recursos de la empresa 0E&%1 ser)a voluminoso y requerir)a muc!o tiempo para su revisin4 por lo tanto, esta
tcnica no es tan efectiva como la creacin de un programa. ( medida que las comple$idades aumentan, se vuelve m+s dif)cil verificar la
efectividad de los sistemas, y la comple$idad no est+ vinculada por s) sola a la segregacin de funciones. Es buena pr+ctica revisar los casos
recientes de violacin de derec!os4 sin embargo, pudiera requerir una cantidad de tiempo significativa el verdaderamente identificar cu+les
violaciones resultaron realmente de una segregacin inapropiada de funciones.
I El estatuto de auditor)a de SI de una organiacin
deber)a especificar:
El estatuto de auditor)a de SI establece el rol de la funcin de auditor)a de sistemas de informacin. El estatuto deber)a describir la
autoridad general, el alcance y las responsabilidades de la funcin de auditor)a. Deber)a ser aprobado por el m+s alto nivel de gestin y,
de estar disponible, por el comit de auditor)a. La planificacin de corto y largo plao es responsabilidad de la gestin de auditor)a. Los
ob$etivos y el alcance de cada auditor)a de SI deber)an acordarse en una carta de compromiso. La gestin de auditor)a deber)a desarrollar un
plan de entrenamiento, basado en el plan de auditor)a.
I
3n auditor de SI est+ realiando una auditor)a a un
servidor de copias de respaldo administrado desde
una ubicacin remota. El auditor de SI revisa los logs
de un d)a y descubre un caso en el cual el inicio de
sesin en un servidor fall con el resultado de que
no se pudo confirmar los reinicios de la copia de
respaldo. -5u deber)a !acer el auditor2
Los est+ndares de auditor)a requieren que un auditor de SI recopile evidencia de auditor)a suficiente y apropiada. El auditor descubri un
problema potencial y a!ora necesita determinar si se trata de un incidente aislado o una falla sistem+tica de control. En este punto es demasiado
pronto para emitir un !allago de auditor)a4 la accin de solicitar una e#plicacin a la gerencia es aconse$able, pero ser)a me$or recopilar
evidencia adicional para evaluar apropiadamente la seriedad de la situacin. 3na falla de respaldo, que no se !a establecido en este punto,
es seria si involucra datos cr)ticos. Sin embargo, el asunto no es la importancia de los datos presentes en el servidor donde se detect un
problema, sino la posibilidad de que e#ista una falla sistem+tica de control que tenga un impacto en otros servidores.
I 3n .ontrato de auditor)a deber)a:
3n contrato de auditor)a deber)a establecer los ob$etivos de la gerencia para, y la delegacin de autoridad a la auditor)a de SI. Este
contrato no deber)a cambiar de manera significativa con l tiempo y deber)a ser aprobado al nivel m+s alto de la gerencia. El contrato de
auditor)a no estar)a a un nivel de detalle y por lo tanto no incluir)a ob$etivos o procedimientos espec)ficos de auditor)a.
I 3n auditor de SI revisa un organigrama
%&I'(&I('E"6E para:
3n organigrama provee informacin sobre las responsabilidades y la autoridad de personas en la organiacin. Esto ayuda al auditor de SI a
saber si !ay una segregacin apropiada de funciones. 3n diagrama de flu$o de traba$o proporcionar)a informacin sobre las funciones de
diferentes empleados. 3n diagrama de red proveer+ informacin sobre el uso de diversos canales de comunicacin e indicar+ la cone#in de los
usuarios a la red.
I
En una auditor)a de SI de varios servidores cr)ticos, el
auditor quiere analiar las pistas de auditor)a para
descubrir potenciales anomal)as en el
comportamiento de usuarios o del sistema. -.u+l de
las !erramientas siguientes es la '/S adecuada para
realiar esa tarea2
Las !erramientas de deteccin de tendencias 7varianas buscan anomal)as en el comportamiento de usuarios o del sistema, por e$emplo,
determinando para los documentos prenumerados si los n*meros son secuenciales o incrementales. Las !erramientas .(SE se usan para
asistir en el desarrollo de soft8are. El soft8are integrado de recoleccin de datos 0auditor)a1 se usa para tomar muestras y para proveer
estad)sticas de produccin. Las !erramientas !eur)sticas de escaneo se pueden usar para escanear en busca de virus para indicar cdigos
posiblemente infectados.
I
3n auditor de SI emite un reporte de auditor)a se9alando la falta de funciones de proteccin de fire8all en el
gate8ay perimetral de red y recomienda un producto de vendedor para resolver esta vulnerabilidad. El auditor de SI no !a
e$ercido:
.uando un auditor de SI recomienda un vendedor espec)fico, ellos
comprometen la independencia profesional. La independencia
organiacional no tiene relevancia con respecto al contenido de un
reporte de auditor)a y debe ser considerado en el momento de aceptar el
I
3n auditor de SI que realia una revisin de los controles de aplicacin evaluar)a:
3n control de revisin de aplicaciones implica la evaluacin de los
controles automatiados de la aplicacin y una evaluacin de
cualesquiera e#posiciones resultantes de las debilidades del control.
Las otras opciones pueden ser ob$etivos de una auditor)a de
I
'ientras se planifica una auditor)a, se debe !acer una evaluacin del riesgo para proveer:
El Lineamiento de (uditor)a de SI :;< de IS(.( sobre planificar los
estados de auditor)a de SI, =Se debe !acer una evaluacin del riesgo
para proveer aseguramiento raonable de que los puntos materiales ser+n
cubiertos de manera adecuada durante el traba$o de auditor)a. Esta
I
3n auditor de SI debe usar muestreo estad)stico, y no muestreo de opiniones 0no estad)stico1 cuando:
Dada una tasa esperada de error y nivel de confiana, el muestreo
estad)stico es un mtodo ob$etivo de muestreo, que ayuda a un auditor
de SI a determinar el tama9o de la muestra y a cuantificar la
probabilidad de error 0coeficiente de confiana1. La opcin , es
I
3n auditor de SI !a importado datos de la base de datos del cliente. El paso siguiente para confirmar si los datos
importados est+n completos se lleva a cabo:
.omparar los totales de control de los datos importados con los totales
de control de los datos originales es el siguiente paso lgico, ya que esto
confirma la integridad de los datos importados. "o es posible confirmar
la totalidad 0completeness1 clasificando los datos importados, porque los
I
'ientras lleva a cabo una auditor)a, un auditor de SI detecta la presencia de un virus. -.u+l debe ser el paso siguiente del
auditor de SI2
La primera cosa que un auditor de SI debe !acer despus de detectar el
virus es alertar a la organiacin sobre su presencia, luego esperar su
respuesta. La opcin ( debe ser emprendida despus de la opcin ..
Esto permitir+ al auditor de SI e#aminar el funcionamiento real y la
I
Durante la recoleccin de evidencia forense, -cu+l de las acciones siguientes tiene '/S posibilidades de causar la
destruccin o corrupcin de evidencia en un sistema comprometido2
&einiciar el sistema puede causar un cambio en el estado del sistema y la
prdida de arc!ivos y evidencia importante almacenados en la memoria.
Las otras opciones son acciones apropiadas para preservar la evidencia.
I
-.u+l de las opciones siguientes es el beneficio clave de la autoevaluacin de control 0.S(12
El ob$etivo de la autoevaluacin de control es inducir a la gerencia
del negocio a estar m+s consciente de la importancia del control
interno y de su responsabilidad en trminos del gobierno corporativo.
La reduccin de los gastos de auditor)a no es un beneficio clave de
I
-.u+l de las siguientes formas de evidencia para el auditor se considerar)a la '/S confiable2
La evidencia obtenida de fuentes e#ternas es por lo general m+s
confiable que la obtenida desde dentro de la organiacin. Las cartas
de confirmacin recibidas desde el e#terior, como por e$emplo las usadas
para verificar los balances de cuentas por cobrar, son por lo general
I
Los diagramas de flu$o de datos son usados por los
(uditores de SI para:
Los diagramas de flu$o de datos se usan como ayudas para graficar o diagramar el flu$o y almacenamiento de datos, con ellos se rastrean los datos desde su origen
!asta su destino, resaltando las rutas y el almacenamiento de los datos. Los diagramas de flu$o no ordenan los datos en ning*n orden $er+rquico. El flu$o de los
datos no coincidir+ necesariamente con ning*n orden $er+rquico o de generacin de datos.
I
En una auditor)a de una aplicacin de inventario ,
-qu enfoque proveer)a la 'E>?& evidencia de que
las rdenes de compra son v+lidas2
%ara determinar la valide de una orden de compra, probar los controles de acceso proveer+ la me$or evidencia. Las opciones , y . se basan en enfoques
posteriores a los !ec!os, mientras que la opcin D no sirve el propsito porque lo que est+ en la documentacin de sistema puede no ser lo mismo que lo
que est+ ocurriendo.
I
-.u+l de los siguientes mtodos de muestreo es el
'/S *til cuando se pone a prueba su
cumplimiento2
El muestreo de atributos es el mtodo primario de muestreo que se usa para comprobar el cumplimiento. El muestreo de atributos es un modelo de muestreo que
se usa para estimar la tasa de ocurrencia de una calidad especifica 0atributo1 en una poblacin y se usa en la comprobacin de cumplimiento para
confirmar si esta calidad e#iste o no. Las otras elecciones se usan en comprobaciones substantivas que involucran la comprobacin de detalles o cantidad.
I
-5u tcnica de auditor)a provee la 'E>?&
evidencia de la segregacin de funciones en un
departamento de SI2
?bservando el personal de SI cuando realia sus tareas, el auditor de SI puede identificar si ellos est+n realiando operaciones no compatibles y entrevistando el personal de SI el
auditor puede obtener un panorama general de las tareas realiadas. ,asado en las observaciones y entrevistas, el auditor puede evaluar la segregacin de funciones. La gerencia no
puede estar en conocimiento de las funciones detalladas de cada empleado en el departamento de SI, por lo tanto, la discusin con la gerencia proveer)a solo informacin limitada
respecto a la segregacin de funciones. 3n organigrama no proveer)a detalles de las funciones de los empleados y la prueba de los derec!os de usuario proveer)a informacin
sobre los derec!os que ellos tienen dentro de los sistemas de SI, pero no
I
-Las decisiones y las acciones de un auditor es
'/S probable que afecten a cu+l de los riesgos
siguientes2
3n riesgo de deteccin est+ directamente afectado por la seleccin, por parte del auditor, de los procedimientos y tcnicas de auditor)a. Los riesgos in!erentes por
lo general no est+n afectados por el auditor de SI. 3n riesgo de control es controlado por las acciones de la gerencia de la compa9)a. Los riesgos
financieros no est+n afectados por el auditor de SI.
I
3na accin correctiva !a sido tomada por un
auditado inmediatamente despus de la
identificacin de un !allago que deber)a ser
reportado. El auditor debe:
Incluir el !allago en el reporte final es una pr+ctica de auditor)a generalmente aceptada. Si se emprende una accin despus de que comen la auditor)a y antes
de que terminara, el reporte de auditor)a debe identificar el !allago y describir la accin correctiva tomada. 3n reporte de auditor)a debe refle$ar la
situacin, tal como sta e#ist)a en el comieno de la auditor)a. 6odas las acciones correctivas emprendidas por el auditado deben ser reportadas por escrito.
I
Durante una auditor)a de control de cambios de
un sistema en produccin, un auditor de SI
descubre que el proceso de administracin de
cambios no est+ documentado formalmente y
3n proceso de gestin de cambios es cr)tico para los sistemas de produccin de 6I.(ntes de recomendar que la organiacin tome alguna otra accin 0por
e$emplo, interrumpir las migraciones, redise9ar el proceso de gestin de cambios1, el auditor de SI deber)a obtener garant)a de que los incidentes reportados se
relacionan con deficiencias en el proceso de gestin de cambios y que no fueron causados por alg*n proceso diferente a la gestin de cambios.
I
-.u+l de las siguientes opciones ser)a normalmente
la evidencia '/S confiable para un auditor2
La evidencia obtenida de terceros independientes casi siempre es considerada la m+s confiable. Las respuestas ,, . y D no serian consideradas confiables.
I
El propsito %&I'(&I? de una auditor)a forense
de 6I es:
La opcin , describe una auditor)a forense. La evidencia recolectada podr)a utiliarse posteriormente en procesos $udiciales. Las auditor)as forenses no se
limitan a fraude corporativo. Evaluar la e#actitus de los estados financieros de una organiacin no es el propsito de una auditor)a forense. Llegar a la
conclusin de que se registr un delito ser)a parte de un proceso legal y no el ob$etivo de una auditor)a forense.
I
3n auditor de SI est+ evaluando una red corporativa en busca de una posible
penetracin por parte de empleados internos. -.u+l de los !allagos siguientes
deber)a preocupar '/S al auditor de SI2
El aprovec!amiento de un ID y contrase9a de usuario conocidos requiere m)nimos conocimientos tcnicos y e#pone los
recursos de la red a la e#plotacin
0maliciosa 1. La barrera tcnica es ba$a y el impacto puede ser muy elevado4 por lo tanto, el !ec!o de que muc!os IDs de usuario
tengan contrase9as idnticas representa la mayor amenaa. Los mdems e#ternos representan un riesgo de seguridad, pero la
e#plotacin o aprovec!amiento a*n depende del uso de una cuenta v+lida de usuario. 'ientras que el impacto de los
I
3n auditor de SI que particip en el dise9o del plan de continuidad del negocio
0,.%1 de una empresa, !a sido asignado para auditar el plan. El auditor de SI
deber)a:
.omunicar la posibilidad de conflicto de inters a la gerencia antes de comenar la asignacin es la respuesta correcta.
Se deber)a comunicar un posible conflicto de inters, que pudiera afectar la independencia del auditor, a la gerencia antes de
comenar la asignacin. &ec!aar la asignacin no es la respuesta correcta, porque se podr)a aceptar la asignacin despus de
obtener la aprobacin de la gerencia. Informar a la gerencia sobre el posible conflicto de inters despus de completar la
I
'ientras revisaba los papeles de traba$o electrnico sensitivos, el auditor de SI
not que los mismos no estaban encriptados. Esto podr)a comprometer:
La encripcin prueba la confidencialidad de los papeles de traba$o electrnicos. Las pistas de auditor)a, las aprobaciones de la
etapa de auditor)a y el acceso a los papeles de traba$o, por s) mismos, no afectan la confidencialidad sino que forman parte del
motivo para requerir la encripcin.
I
La ran %&I'(&I( por la que un auditor de SI realia un recorrido funcional
durante la fase preliminar de una asignacin de auditor)a es:
Entender el proceso de negocio es el primer paso que un auditor de SI necesita realiar. Las normas no requieren que un
auditor de SI efect*e un recorrido de proceso. Identificar las debilidades de control no es la ran primaria para el recorrido y
t)picamente ocurre en una etapa posterior en la auditor)a. %lanear pruebas sustantivas se realia en una etapa posterior de la
auditor)a.
I
(l planear una auditor)a, el paso '/S cr)tico es la identificacin de:
.uando se dise9a un plan de auditor)a, es importante identificar las +reas de m+s alto riesgo para determinar las +reas a
ser auditadas. Los con$untos de !abilidades del personal de auditor)a deber)an !aberse considerado antes de decidir y de
escoger la auditor)a. Los pasos de prueba para la auditor)a no son tan cr)ticos como identificar las +reas de riesgo, y el
tiempo asignado para una auditor)a est+ determinado por las +reas a ser auditadas, las cuales son primariamente
I
-.u+l de los siguientes es una venta$a de una prueba integrada 0I6@12
3na prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prueba simult+neamente con
la entrada en vivo. Su venta$a es que las pruebas peridicas no requieren procesos separados de prueba. Sin embargo, es
necesaria una planeacin cuidadosa y los datos de prueba deben ser aislados de los datos de produccin.
I
3n auditor de SI eval*a los resultados de prueba de una modificacin a un sistema
que trata con cmputo de pagos. El auditor encuentra que el <AB de los c+lculos no
coinciden con los totales predeterminados. -.u+l de los siguientes es '/S probable
que sea el siguiente paso en la auditor)a2
El auditor de SI deber)a luego e#aminar casos donde ocurrieron c+lculos incorrectos y confirmar los resultados.
Despus de que los c+lculos !ayan sido confirmados, m+s pruebas pueden ser llevadas a cabo y revisadas. La preparacin
de reportes, !allagos y recomendaciones no se !ar)a !asta que todos los resultados fueran confirmados.
I
Durante una entrevista final, en los casos en que !ay desacuerdo con respecto al
impacto de un !allago, un auditor de SI debe:
Si el auditado esta en desacuerdo en cuanto al impacto de un !allago, es importante que el auditor de SI elabor, clarifique y
de a conocer los riesgos que el auditado no !a valorado y la magnitud de su e#posicin. El ob$etivo deberia ser mostrar al
auditado o descubrir nueva informacin que el auditor de SI no !aya contemplado. .ualquier cosa que pareca una
amenaa para el auditado reducir+ la efectividad de la comunicacin y establece una relacin controvetida. %or el
I
La decisin final de incluir un !allago material en un informe de auditor)a debe ser
tomada por el:
El auditor de SI debe tomar la decisin final respecto a qu incluir o e#cluir del informe de auditor)a. Las otras opciones
limitar)an la independencia del auditor.
I
( pesar de que la gerencia !a dic!o otra cosa, un auditor de SI tiene motivos para creer que la
organiacin est+ usando soft8are que no tiene licencia. En esta situacin, el auditor de SI debe:
.uando !ay una indicacin de que una organiacin podr)a estar usando soft8are sin licencia, el auditor de
SI debe obtener evidencias suficientes antes de incluirlo en el informe. .on respecto a este asunto, las
manifestaciones obtenidas de la gerencia no pueden ser verificadas de manera independiente. Si la
organiacin est+ usando soft8are que no tiene licencia, el auditor, para mantener ob$etividad e independencia,
I -.u+l de las siguientes tcnicas de auditor)a en l)nea es '/S efectiva para la deteccin temprana de
errores o irregularidades2
La tcnica de ganc!o de auditor)a implica integrar el cdigo en los sistemas de aplicacin para el e#amen de las
transacciones seleccionadas. Esto ayuda a un auditor de SI a actuar antes de que un error o una
irregularidad se salgan de control. 3n mdulo integrado de auditor)a implica integrar soft8are escrito
especialmente en el sistema anfitrin de aplicacin de la organiacinl de modo que los sistemas de
I
El vicepresidente de recursos !umanos !a solicitado una auditor)a para identificar los
sobrepagos de planilla7nmina para el a9o anterior.
-.u+l ser)a la 'E>?& tcnica de auditor)a para usar en esta situacin2
Las caracter)sticas del soft8are generaliado de auditor)a incluyen cmputos matem+ticos, estratificacin,
an+lisis estad)stico, verificacin de secuencia, verificacin de duplicados y rec+lculos. El auditor de SI,
usando soft8are generaliado de auditor)a, podr)a dise9ar pruebas apropiadas para recalcular la
planilla7nmina y, de ese modo, determinar si !ubo sobrepagos, y a quines fueron efectuados. Los
I El #ito de la autoevaluacin de control 0.S(1 depende grandemente de:
El ob$etivo primario de un programa de autoevaluacin de control 0.S(1 es apalancar la funcin de
auditor)a interna cambiando algunas de las responsabilidad de monitoreo de control a los gerentes de
l)nea de +rea funcional. El #ito de un programa de .S( depende del grado al que los gerentes de l)nea
asumen responsabilidad de los controles. Las opciones ,, . y D son caracter)sticas de un enfoque tradicional de
I -.u+l de los siguientes es un beneficio de un mtodo de planeacin de auditor)a basado en el riesgo2
El mtodo basado en el riesgo est+ dise9ado para asegurar que el tiempo de auditor)a sea empleado en
las +reas de mayor riesgo. El desarrollo de un cronograma de auditor)a no est+ dirigido por un mtodo
basado en el riesgo. Los cronogramas de auditor)a pueden ser preparados con meses de anticipacin usando
diversos mtodos de cronograma. 3n mtodo de riesgo no tiene una correlacin directa con que el personal de
I Durante la etapa de planificacin de una auditor)a de SI, la meta %&I'(&I( de un auditor de SI es:
Las normas de auditor)a de IS(.( requieren que un auditor de SI planee el traba$o de auditor)a para
resolver los ob$etivos de auditor)a. La opcin , es incorrecta porque el auditor no recoge evidencia en la
etapa de planificacin de una auditor)a. Las opciones . y D son incorrectas porque no son las metas
primarias de la planificacin de auditor)a. Las actividades descritas en las opciones ,, . y D son todas
I
3n beneficio %&I'(&I? para una organiacin que emplea tcnicas de auto evaluacin de
controles 0control selfCassessmentC.S(1, es que ella:
La .S( se predica sobre la revisin de las +reas de alto riesgo que o bien necesitan atencin inmediata o una
revisin m+s e#!austiva en una fec!a posterior. La respuesta , es incorrecta porque la .S( requiere la
participacin de tanto los auditores como la gerencia de l)nea. Lo que ocurre es que la funcin de
auditor)a interna pasa algunas de las responsabilidades de monitoreo de control a las +reas funcionales. La
I .uando selecciona los procedimientos de auditor)a, un auditor de SI debe usar su $uicio profesional
para asegurar que:
Los procedimientos son procesos que un auditor de SI puede seguir en un compromiso de auditor)a. %ara
determinar si cualquier procedimiento espec)fico es apropiado, un auditor de SI debe usar un $uicio
profesional apropiado a las circunstancias espec)ficas. El $uicio profesional implica una evaluacin
sub$etiva y a menudo cualitativa de las condiciones que surgen en el curso de una auditor)a. El $uicio se
I -.u+l de los siguientes es un atributo del mtodo de autoevaluacin de control 0.S(12
El mtodo de autoevaluacin de control 0.S(1 !ace nfasis en la administracin y en la obligacin de rendir
cuentas de desarrollar y monitorear los controles de los procesos de negocio de una organiacin. Los
atributos de .S( incluyen: empleados facultados, me$oramiento continuo, e#tensa participacin y
entrenamiento de los empleados, todo lo cual son manifestaciones de amplia participacin de los
I
3n auditor de SI est+ revisando el acceso a una aplicacin para determinar si los ;A
formularios =nuevo usuario= m+s recientes fueron correctamente autoriados. Este es un e$emplo de:
La prueba de cumplimiento determina si los controles se est+n aplicando de acuerdo con las pol)ticas.
Esto incluye pruebas para determinar si las nuevas cuentas fueron debidamente autoriadas. El muestreo
de variables se usa para estimar los valores numricos, tales como valores de dlar. La prueba
sustantiva sustancia la integridad del procesamiento real, como por e$emplo los saldos de los estados
I -.u+l de las siguientes ser)a la 'E>?& poblacin de la cual tomar una muestra cuando un programa
en pruebas cambia2
La me$or fuente de la cual e#traer cualquier e$emplo o prueba de un sistema de informacin es el
sistema automatiado. Las bibliotecas de produccin representan e$ecutables que est+n aprobados y
autoriados para procesar los datos de la organiacin. Los listados de programa fuente serian intensivos en el
tiempo. Las solicitudes de cambio de programa son los documentos usados para iniciar el cambio. "o !ay
I
Durante una revisin de implementacin de una aplicacin distribuida multiusuario, el auditor de
SI encuentra debilidades menores en tres +reasCLa disposicin inicial de par+metros est+ instalada
incorrectamente, se est+n usando contrase9as dbiles y algunos reportes vitales no se est+n
verificando debidamente. 'ientras se prepara el informe de auditor)a, el auditor de SI deber)a:
Las debilidades individualmente son de menor importancia, sin embargo, $untas tienen el potencial de
debilitar sustancialmente la estructura general de control. Las opciones ( y D refle$an una falla de parte del
auditor de SI para reconocer el efecto combinado de la debilidad de control. (dvertir al gerente local sin
reportar los !ec!os y observaciones ocultar)a los !allagos de los otras partes interesadas.
I .uando prepara un informe de auditor)a, el auditor de SI debe asegurarse que los resultados estn
soportados por:
El est+ndar de IS(.( sobre =informes= requiere que el auditor de SI tenga evidencias de auditor)a suficientes
y apropiadas para soportar los resultados que se reportan. Las declaraciones de la gerencia de SI proveen una
base para obtener concurrencia sobre asuntos que no pueden ser verificados con evidencia emp)rica. El
informe debe basarse en evidencias recogidas durante el curso de la revisin aunque el auditor pueda tener
I
3n auditor de SI que entrevista a un empleado de planilla encuentra que las respuestas no
respaldan las descripciones de los puestos de traba$o y los procedimientos documentados. ,a$o
estas circunstancias, el auditor de SI debe:
Si las respuestas dadas a las preguntas de un auditor de SI no est+n confirmadas por procedimientos
documentados o descripciones de puestos de traba$o, el auditor de SI debe e#pandir el alcance de las
pruebas de los controles e incluir m+s pruebas sustantivas. "o !ay evidencia de que cualesquiera sean
los controles que pudieran e#istir son o bien inadecuados o adecuados. %oner mayor confiana en las
I
La %&I".I%(L venta$a del enfoque de evaluacin del riesgo sobre el enfoque de l)nea base para la
gerencia de seguridad de informacin es que ste asegura que:
3na evaluacin completa del riesgo determina el nivel apropiado para un nivel dado de riesgo, mientras que el
enfoque de la l)nea base aplica meramente un con$unto est+ndar de proteccin independientemente del riesgo.
Day una venta$a de costo en no sobreproteger la informacin. Sin embargo una venta$a a*n mayor es
asegurarse que ning*n activo de informacin esta sobre ni protegido de manera insuficiente. El enfoque de la
I En el proceso de evaluar los controles de cambio de programa, un auditor de SI usar)a soft8are de
comparacin de cdigo fuente para:
3n auditor de SI tiene un ob$etivo, aseguramiento independiente y relativamente completo de cambios de
programa porque la comparacin de cdigos fuente identificar+ los cambios. La opcin , es incorrecta porque
los cambios !ec!os desde la adquisicin de la copia no est+n incluidos en la copia del soft8are. La opcin . es
incorrecta ya que un auditor de SI tendr+ que obtener este aseguramiento separadamente. La opcin D es
I
-.u+l de las opciones siguientes deber)a utiliar un auditor de SI para detectar registros duplicados
de facturas dentro de un arc!ivo maestro de facturas2
El Soft8are genrico de auditor)a 0:(S1 permite al auditor revisar todo el arc!ivo de facturas para buscar
los elementos que cumplan con los criterios de seleccin. El muestreo de atributos ayuda a identificar los
registros que cumplen con condiciones espec)ficas, pero no compara un registro con otro para identificar
duplicados. %ara detectar registros duplicados de facturas, el auditor de SI deber)a verificar todos los elementos
I
3n auditor de SI est+ revisando la evaluacin del riesgo de la gerencia, de los sistemas de
informacin. El auditor de SI debe %&I'E&?
revisar:
3no de los factores clave a ser considerados mientras se eval*an los riesgos relacionados con el uso de diversos
sistemas de informacin son las amenaas y las vulnerabilidades que afectan a los activos. Los riesgos
relacionados con el uso de activos de informacin deben ser evaluados aisladamente de los controles
instalados. De manera similar, la eficacia de los controles debe ser considerada durante la etapa de
I
En el curso de la realiacin de un an+lisis de riesgo, un auditor de SI !a identificado
amenaas e impactos potenciales. Inmediatamente despus, un auditor de SI debe:
Es importante que un auditor de SI identifique y eval*e los controles y la seguridad e#istentes una ve que las
amenaas potenciales y los impactos posibles est+n identificados. (l concluirse una auditor)a, un auditor de SI
debe describir y discutir con la gerencia las amenaas y los impactos potenciales sobre los activos.
I .uando se eval*a el dise9o de los controles de monitoreo de red, un auditor de SI debe %&I'E&?
revisar:
El primer paso para evaluar los controles de monitoreo de red debe ser la revisin de la adecuacin de
la documentacin de red, espec)ficamente los diagramas de topolog)a. Si esta informacin no estuviera
actualiada, entonces los procesos de monitoreo y la capacidad para diagnosticar problemas no ser+ efectiva.
I -.u+l de las siguientes es la venta$a %&I".I%(L de usar soft8are forense de computacin para las
investigaciones2
El ob$etivo primario del soft8are forense es preservar la evidencia electrnica para satisfacer las reglas de
evidencia. La opcin ,, los a!orros en tiempo y en costos, y la eficiencia y la eficacia, opcin ., eficiencia
y eficacia, son preocupaciones leg)timas y diferencian a los paquetes buenos de los paquetes deficientes de
soft8are forense. La opcin D, la capacidad de investigar las violaciones de los derec!os de propiedad
I
Se asigna a un auditor de sistemas para que realice una revisin de un sistema de aplicacin
posterior a la implementacin. -.u+l de las siguientes situaciones puede !aber comprometido la
independencia del auditor de sistemas2 El auditor de SI:
Se puede comprometer la independencia si el auditor de sistemas est+ o !a estado involucrado activamente en
el desarrollo, adquisicin, e implementacin del sistema de aplicacin. Las opciones , y . son situaciones
que no comprometen la independencia del auditor de sistemas. La opcin D es incorrecta porque la
independencia del auditor de sistemas no compromete suministrando asesor)a sobre las me$ores pr+cticas
I
-.u+l de las opciones siguientes utiliar)a un auditor de SI para determinar si se realiaron
modificaciones no autoriadas a los programas de produccin2
%ara determinar que slo se !an realiado modificaciones autoriadas a los programas de produccin,
ser)a necesario revisar el proceso de gestin de cambios para evaluar la e#istencia de un rastro de
evidencia documental. Las pruebas de cumplimiento ayudar)an a verificar que el proceso de gestin de
cambios !a sido aplicado consistentemente. Es poco probable que el an+lisis del log de sistema provea
I La ran '/S importante para que un auditor de SI obtenga evidencias suficientes y apropiadas de
auditor)a es:
El alcance de una auditor)a de SI est+ definido por sus ob$etivos. Esto implica identificar las debilidades de
control relevantes para el alcance de la auditor)a. ?btener evidencias suficientes y apropiadas ayuda al auditor a
identificar las debilidades de control pero tambin a documentarlas y validarlas. .umplir con los requisitos
regulatorios, asegurar la cobertura y la e$ecucin de la auditor)a son todos relevantes para una auditor)a
I El propsito %&I'(&I? de las pistas de auditor)a es:
Dabilitar pistas de auditor)a ayuda a establecer la obligacin de rendir cuentas y la responsabilidad de las
transacciones procesadas, rastreando transacciones a travs del sistema. El ob$etivo de !abilitar soft8are para
proveer pistas de auditor)a no es me$orar la eficiencia del sistema, ya que esto implica a menudo un
procesamiento adicional que puede en realidad reducir el tiempo de respuesta para los usuarios. Dabilitar
I
.uando desarrolla una estrategia de auditor)a basada en el riesgo, un auditor de SI debe llevar a cabo
una evaluacin del riesgo para asegurar que:
(l desarrollar una estrategia de auditor)a basada en el riesgo, es cr)tico que los riesgos y las vulnerabilidades
sean entendidos. Esto determinar+ las +reas a ser auditadas y el grado de cobertura. Entender si est+n
establecidos los controles apropiados requeridos para mitigar los riesgos es un efecto resultante de una
auditor)a. Los riesgos de auditor)a son aspectos in!erentes de la auditor)a, est+n directamente relacionados
I 3na prueba sustantiva para verificar que los registros de inventario de biblioteca de cinta son
correctos es:
3na prueba sustantiva incluye recolectar evidencia para evaluar la integridad de las transacciones individuales,
los datos y otra informacin. Llevar a cabo un conteo f)sico del inventario de cintas es una prueba sustantiva. Las
opciones (, , y D son pruebas de cumplimiento.
I %ara asegurar que los recursos de auditor)a entreguen el me$or valor a la organiacin, el %&I'E&
paso ser)a:
'onitorear el tiempo 0la opcin (1 y auditar los programas 0opcin D1, as) como tambin un entrenamiento
adecuado 0opcin ,1 me$orar+n la productividad del personal de auditor)a de SI 0eficiencia y desempe9o1,
pero lo que entrega valor a la organiacin son los recursos y esfueros que se dedican a, y que est+n
enfocados sobre, las +reas de mayor riesgo.
I El propsito %&I'(&I? para reunirse con los auditados antes de cerrar formalmente una revisin es:
El propsito %&I'(&I? para reunirse con los auditados antes de cerrar formalmente una revisin es llegar
a un acuerdo sobre los !allagos. Las otras opciones, a pesar de estar relacionadas con el cierre formal de una
auditor)a, son de importancia secundaria.
I El grado !asta donde los datos ser+n recolectados durante una auditor)a de SI deber)a ser determinado
basado en:
El grado !asta donde los datos ser+n recolectados durante una auditor)a de SI debe relacionarse
directamente con el alcance y el propsito de la auditor)a. 3na auditor)a que tenga un propsito y un alcance
estrec!os lo m+s probable es que tendr)a como consecuencia menos recoleccin de datos, que una
auditor)a que tuviera un propsito y un alcance m+s amplios. El alcance de una auditor)a de SI no
I El riesgo general del negocio para una amenaa en particular se puede e#presar como:
La opcin ( toma en consideracin tanto la probabilidad como la magnitud del impacto y provee la me$or
medida del riesgo para un activo. La opcin , provee *nicamente la probabilidad de que una amenaa
e#plote una vulnerabilidad en el activo pero no provee la magnitud del posible da9o al activo. De manera
similar, la opcin . considera solamente la magnitud del da9o y no la posibilidad de que una amenaa
I
3n auditor de SI que lleva a cabo una revisin del uso y licenciamiento de soft8are descubre
que numerosas %.s contienen soft8are no autoriado. -.u+l de las siguientes acciones deber)a
emprender el auditor de SI2
El uso de soft8are no autoriado o ilegal debe estar pro!ibido en una organiacin. La pirater)a de soft8are tiene
como consecuencia la e#posicin in!erente y puede resultar en severas multas. El auditor de SI debe convencer
al usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el riesgo. 3n auditor de SI no
debe asumir la funcin del oficial de cumplimiento ni asumir participacin personal alguna para retirar o
I
-.u+l de las siguientes es la ran '/S probable de por qu los sistemas de correo
electrnico se !an convertido en una fuente *til de evidencia en litigios2
Los arc!ivos de respaldo contienen documentos, que supuestamente !an sido borrados, podr)an ser
recuperados de estos arc!ivos. Los controles de acceso pueden ayudar a establecer responsabilidad de dar
cuenta de la emisin de un documento en particular, pero esto no provee evidencia del correo Electrnico. Las
normas de clasificacin de datos pueden !aber sido fi$adas respecto a lo que deber)a comunicarse por correo
I -.u+l de las siguientes es una prueba sustantiva2
3na prueba sustantiva confirma la integridad del procesamiento real. 3na prueba sustantiva determinar)a si
los registros de la biblioteca de cintas est+n establecidos correctamente. 3na prueba de cumplimiento
determina si se est+n aplicando los controles de una forma consistente con las pol)ticas y procedimientos
de la gerencia. Eerificar la autoriacin de los reportes de e#cepcin, revisar la autoriacin para cambiar
I 3na prueba integrada 0integrated test facilityCI6@1 se considera una !erramienta *til de auditor)a
porque:
3na facilidad de prueba integrada se considera una !erramienta *til de auditor)a porque usa los mismos
programas para comparar el procesamiento usando datos calculados de manera independiente. Esto implica
establecer entidades ficticias en un sistema de aplicacin y procesar datos de prueba o de produccin contra la
entidad como un medio de verificar el procesamiento adecuado.
I
.uando se realia una investigacin forense de computadora, con respecto a la evidencia recolectada,
la '(F?& preocupacin de un auditor de SI debe ser:
La preservacin y documentacin de evidencia para revisin por el organismo de cumplimiento y las
autoridades $udiciales son la preocupacin primaria cuando se lleva a cabo una investigacin. "o preservar
debidamente la evidencia podr)a poner en peligro la aceptacin de la evidencia en el proceso legal. El an+lisis, la
evaluacin y la divulgacin son importantes pero no son la preocupacin primaria en una investigacin forense.
I
Durante una revisin de un arc!ivo maestro de clientes, un auditor de SI descubri numerosas
duplicaciones de nombre de cliente que surg)an de variaciones en los primeros nombres del cliente.
%ara determinar la e#tensin de la duplicacin, el auditor de SI usar)a:
.omo el nombre no es el mismo 0debido a variaciones de los primeros nombres1, un mtodo para
detectar duplicaciones seria comparar otros campos comunes, como por e$emplo las direcciones F podr)a
entonces seguidamente llevarse a cabo una revisin para determinar los nombres de los clientes en estas
direcciones. ,uscar los n*meros de cuenta duplicados probablemente no !allar)a duplicaciones de nombres ya
I
3n auditor de SI est+ efectuando una auditor)a de un sistema operativo de red. -.u+l de las
siguientes es una funcin de usuario que el auditor de SI debe revisar2
Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en l)nea de
documentacin de red. ?tras funciones ser)an el acceso del usuario a diversos recursos de anfitriones
0!osts1 de red, la autoriacin del usuario a tener acceso a recursos particulares y la red y las
computadoras anfitrionas 0!osts1 a ser usadas sin acciones o comandos especiales de usuario. Las opciones ,,
I El 'E>?& mtodo de probar la e#actitud de un sistema de c+lculo de impuestos es:
%reparar transacciones simuladas para procesar y comparar los resultados con resultados predeterminados es el
'E>?& mtodo para probar la correccin de un c+lculo de impuestos. La revisin visual detallada, la creacin
de diagramas de flu$o y el an+lisis de cdigo fuente no son mtodos efectivos, y los totales mensuales no
resolver)an la e#actitud de c+lculos individuales de impuestos.
I
.uando se eval*a el efecto colectivo de los controles preventivos de deteccin o correctivos dentro
de un proceso, un auditor de SI deber)a estar consciente:
3n auditor de SI deber)a concentrarse en cuando los controles son e$ercidos como flu$os de datos a
travs del sistema de computadora. La opcin , es incorrecta ya que los controles correctivos pueden ser
tambin relevantes. La opcin . es incorrecta ya que los controles correctivos eliminan o reducen los efectos de
los errores o irregularidades y son considerados e#clusivamente como controles compensatorios. La opcin D
I
-.u+l de las siguientes tcnicas de auditor)a ayudar)a '/S a un auditor a determinar si !a !abido
cambios no autoriados de programa desde la *ltima actualiacin autoriada de programa2
3na comparacin autom+tica de cdigos es el proceso de comparar dos versiones del e$emplo de programa
para determinar si las dos corresponden. Es una tcnica eficiente porque es un procedimiento autom+tico. Las
corridas de prueba de datos permiten al auditor verificar el procesamiento de transacciones
preseleccionadas, pero no proveen evidencias sobre porciones no e$ercitadas de un programa. La revisin de
I 3n auditor de SI que eval*a los controles de acceso lgico debe %&I'E&?:
.uando eval*a los controles de acceso lgico, un auditor de SI debe primero obtener un entendimiento del riesgo
de seguridad que enfrenta el procesamiento
de informacin revisando la documentacin relevante, mediante averiguaciones, y llevando a cabo una
evaluacin del riesgo. La documentacin y la evaluacin es el segundo paso para determinar la adecuacin,
I
3n (uditor de sistemas que trate de determinar si el acceso a la documentacin de programas est+
restringido a las personas autoriadas, lo
'/S probable es que:
%reguntar a los programadores sobre los procedimientos que se est+n siguiendo actualmente es *til para
determinar si el acceso a la documentacin de programas est+ restringido a las personas autoriadas.
Evaluar los planes de retencin de registros para almacenamiento fuera de las instalaciones pone a prueba
los procedimientos de recuperacin, no el control de acceso a la documentacin de programas. %robar los
I
Durante una auditor)a de seguridad de procesos de 6I, un auditor de SI encontr que no !ab)a
procedimientos de seguridad documentados. El auditor de SI debe:
3no de los principales ob$etivos de una auditor)a es identificar los riesgos potenciales4 por lo tanto, el
mtodo m+s proactivo ser)a identificar y evaluar las pr+cticas e#istentes de seguridad que la organiacin
est+ siguiendo. 3n auditor de SI no debe preparar documentacin, y si lo !iciera, su independencia estar)a
en peligro. Dar por terminada la auditor)a puede impedir que se logren los ob$etivos de la auditor)a, es
I -.u+l de las siguientes debe ser la '(F?& preocupacin para un auditor de SI2
"o reportar una intrusin es equivalente a un auditor de SI que esconde una intrusin maliciosa, lo cual
ser)a un error profesional. ( pesar de que puede requerirse la notificacin a la polic)a y que la falta de un
e#amen peridico de derec!os de acceso podr)a ser una preocupacin, ellos no representan una
preocupacin tan grande como la de de$ar de reportar un ataque. &eportar al p*blico no es un requisito y
I
-.u+l de las siguientes es la ran '/S probable de por qu los sistemas de correo
electrnico se !an convertido en una fuente *til de evidencia en litigios2
cuenta de la emisin de un documento en particular, pero esto no provee evidencia del correo Electrnico. Las
normas de clasificacin de datos pueden !aber sido fi$adas respecto a lo que deber)a comunicarse por correo
investigaciones2
evidencia. Los a!orros en tiempo y en costos, opcin ,, y la eficiencia y la eficacia, opcin ., son
preocupaciones leg)timas y diferencian a los paquetes buenos de los paquetes deficientes de soft8are forense.
La capacidad de investigar las violaciones de los derec!os de propiedad intelectual, opcin D, es un e$emplo de
3na prueba sustantiva confirma la integridad del procesamiento real. 3na prueba sustantiva determinar)a
si los registros de la biblioteca de cintas est+n establecidos correctamente. 3na prueba de cumplimiento
I -.u+l de las siguientes formas de evidencia para el auditor se considerar)a la '/S confiable2
La evidencia obtenida de fuentes e#ternas es por lo general m+s confiable que la obtenida desde dentro
de la organiacin. Las cartas de confirmacin recibidas desde el e#terior, como por e$emplo las usadas para
verificar los balances de cuentas por cobrar, son por lo general altamente confiables. La prueba realiada por
un auditor no puede ser confiable si el auditor no tenia un buen entendimiento del +rea tcnica ba$o revisin.
I -.u+l de las siguientes !erramientas de auditor)a es la '/S importante para un auditor de SI cuando
se requiere una pista de auditor)a2
3na !erramienta de instant+nea 0snaps!ot1 es m+s *til cuando se requiere una pista de auditor)a. I6@ puede
usarse para incorporar transacciones de prueba en una corrida normal de produccin. .IS es *til cuando las
transacciones que re*nen ciertos criterios necesitan ser e#aminadas. Los ganc!os de auditor)a son *tiles cuando
slo se necesita e#aminar transacciones o procesos escogidos.
I -.u+l de las siguientes opciones ser)a normalmente la evidencia '/S confiable para un auditor2 La evidencia obtenida de terceros independientes casi siempre es considerada la m+s confiable. Las respuestas
,, . y D no serian consideradas confiables.
I
-.u+l de las siguientes pruebas es realiada por un auditor de SI cuando es seleccionada una
muestra de programas para determinar si las versiones fuentes y las versiones ob$eto son las
mismas2
3na prueba de cumplimiento determina si los controles est+n operando como se dise9aron y si est+n
siendo aplicados en tal forma que cumplan con las pol)ticas y procedimientos de gerencia. %or e$emplo,
si al auditor de SI le preocupa si los controles de biblioteca de programas est+n funcionando
correctamente, el auditor de SI podr)a seleccionar una muestra de programas para determinar si las versiones
I -.u+l de las siguientes ser)a la 'E>?& poblacin de la cual tomar una muestra cuando un programa
en pruebas cambia2
La me$or fuente de la cual e#traer cualquier e$emplo o prueba de un sistema de informacin es el
sistema automatiado. Las bibliotecas de produccin representan e$ecutables que est+n aprobados y
autoriados para procesar los datos de la organiacin. Los listados de programa fuente serian intensivos en el
tiempo. Las solicitudes de cambio de programa son los documentos usados para iniciar el cambio. "o !ay
I -.u+l de las siguientes tcnicas en l)nea es m+s efectiva para la deteccin temprana de errores o
irregularidades2
La tcnica del ganc!o de auditor)a implica integrar cdigo en los sistemas de aplicacin para el e#amen de
transacciones seleccionadas. Esto ayuda al auditor de SI a actuar ante un error o una irregularidad se sale de
control. 3n modulo integrado de auditor)a implica integrar soft8are escrito especialmente en el sistema
anfitrin de aplicacin de la organiacin para que los sistemas de aplicacin sean monitoreados de
I -.u+l de los mtodos de muestreo es el '/S *til cuando se pone a prueba su cumplimiento2
El muestreo de atributos es el mtodo primario de muestreo que se usa para comprobar el cumplimiento. El
muestreo de atributos es un modelo de muestreo que se usa para estimar la tasa de ocurrencia de una
calidad especifica 0atributo1 en una poblacin y se usa en la comprobacin de cumplimiento para
confirmar si esta calidad e#iste o no. Las otras elecciones se usan en comprobaciones substantivas que involucran
I -.u+l de los siguientes describe 'E>?& una prueba integrada 0integrated test facilityCI6@12
La respuesta ( describe me$or una prueba integrada 0integrated test facilityCI6@1, que es un proceso de auditor)a
especialiado asistido por computadora que permite que auditor de SI pruebe una aplicacin de manera
continua. La respuesta , es un e$emplo de un arc!ivo de revisin de control de sistemas4 las respuestas .
y D son e$emplos de instant+neas.
I -.u+l de los siguientes es el '(F?& desaf)o al utiliar datos de prueba2
La eficacia de los datos de prueba est+ determinada por la e#tensin de la cobertura de todos los controles
clave a ser probados. Si los datos de prueba no cubren todas las condiciones v+lidas y no v+lidas, !ay un
riesgo de que la debilidad de control relevante pueda seguir sin ser detectada. Los cambios en el programa,
por el per)odo cubierto por la auditor)a, pueden !aberse efectuado para depurar o para funcionalidades
las +reas de mayor riesgo. El desarrollo de un cronograma de auditor)a no est+ dirigido por un mtodo basado
en el riesgo. Los cronogramas de auditor)a pueden ser preparados con meses de anticipacin usando diversos
mtodos de cronograma. 3n mtodo de riesgo no tiene una correlacin directa con que el personal de auditor)a
I -.u+l de los siguientes es un ob$etivo de un programa de auto evaluacin de control 0.S(12
Los ob$etivos de los programas .S( incluyen la educacin para la gerencia de l)nea en responsabilidad del
control, seguimiento y concentracin de todos en las +reas de alto riesgo. Los ob$etivos de los programas
de .S( incluyen el aumento de las responsabilidades de auditor)a, no el reemplao de las
responsabilidades de auditor)a. Las opciones . y D son !erramientas de .S( y no ob$etivos.
I -.u+l de los siguientes es una venta$a de una prueba integrada 0I6@12
3na prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prueba
simult+neamente con la entrada en vivo. Su venta$a es que las pruebas peridicas no requieren procesos
separados de prueba. Sin embargo, es necesaria una planeacin cuidadosa y los datos de prueba deben ser
aislados de los datos de produccin.
I -.u+l de los siguientes pasos realiar)a %&I'E&? un auditor de SI normalmente en una revisin de
seguridad del centro de datos2
Durante la planeacin, el auditor de SI deber)a obtener una visin general de las funciones que est+n siendo
auditadas y evaluar los riesgos de auditor)a y de negocios. Las opciones ( y D son parte del proceso de traba$o de
campo de la auditor)a que ocurre posterior a esta planeacin y preparacin. La opcin . no es parte de una
revisin de seguridad.
I -.u+l de los siguientes podr)a ser usado por un auditor de SI para validar la efectividad de las rutinas
de edicin y de validacin2
La prueba de integridad de dominio est+ dirigida a verificar que los datos se a$usten a las definiciones,
i.e., los elementos de datos est+n todos en los dominios correctos. El ob$etivo principal de este e$ercicio es
verificar que las rutinas de edicin y de validacin est+n funcionando de manera satisfactoria. Las pruebas de
integridad relacional se realian a nivel del registro y por lo general implican calcular y verificar diversos campos
I -Las decisiones y las acciones de un auditor es '/S probable que afecten a cu+l de los riesgos
siguientes2
3n riesgo de deteccin est+ directamente afectado por la seleccin, por parte del auditor, de los procedimientos y
tcnicas de auditor)a. Los riesgos in!erentes por lo general no est+n afectados por el auditor de SI. 3n
riesgo de control es controlado por las acciones de la gerencia de la compa9)a. Los riesgos financieros no
est+n afectados por el auditor de SI.
I -5u tcnica de auditor)a provee la 'E>?& evidencia de la segregacin de funciones en un
departamento de SI2
?bservando el personal de SI cuando realia sus tareas, el auditor de SI puede identificar si ellos est+n realiando
operaciones no compatibles y entrevistando el personal de SI el auditor puede obtener un panorama general de las
tareas realiadas. ,asado en las observaciones y entrevistas, el auditor puede evaluar la segregacin de funciones.
La gerencia no puede estar en conocimiento de las funciones detalladas de cada empleado en el departamento de
I ( travs de todas las fases de un traba$o de auditor)a, el (uditor de SI debe concentrarse en:
( travs de todas las fases de la auditor)a de SI, el auditor debe asegurarse que !aya documentacin adecuada. La
recoleccin de evidencias, el muestreo y las pruebas sustantivas no ocurren en todas las fases de una auditor)a4 por
e$emplo, la fase de reporte no requiere la recoleccin de evidencias, sino que utiliar)a las evidencias recolectadas
en una fase anterior del proceso de auditor)a.
I (l llevar a cabo una auditor)a, un auditor de SI detecta la presencia de un virus. -.u+l debe ser el
siguiente paso del auditor de SI2
Lo primero que un auditor de SI debe !acer despus de detectar el virus es alertar sobre su presencia a la
organiacin, luego esperar la respuesta de sta. La opcin ( se debe emprender despus de la opcin .. Esto
permitir+ al auditor de SI e#aminar la funcionalidad y la efectividad del sistema de respuesta. El auditor de SI
no debe !acer cambios al sistema que est+ siendo auditado, y asegurar la eliminacin del virus es una
I (l planear una auditor)a, el paso '/S cr)tico es la identificacin de:
.uando se dise9a un plan de auditor)a, es importante identificar las +reas de m+s alto riesgo para
determinar las +reas a ser auditadas. Los con$untos de !abilidades del personal de auditor)a deber)an !aberse
considerado antes de decidir y de escoger la auditor)a. Los pasos de prueba para la auditor)a no son tan
cr)ticos como identificar las +reas de riesgo, y el tiempo asignado para una auditor)a est+ determinado por
I .uando comunican los resultados de auditor)a, los auditores de SI deben recordar que en *ltima
instancia ellos son los responsables ante:
El auditor de SI es en *ltima instancia responsable ante la alta gerencia y ante el comit de auditor)a de la
$unta directiva. Incluso si el auditor de SI debe discutir los !allagos con el personal de gerencia de la entidad
auditada 0opcin ,1, ello se !ace *nicamente para obtener acuerdo sobre los !allagos y para desarrollar un
curso de accin correctiva. La opcin . es incorrecta porque el director de auditor)a de SI debe revisar el reporte
I
.uando se est+ desarrollando una estrategia de auditor)a basada en el riesgo, un auditor de SI
debe llevar a cabo una evaluacin del riesgo para asegurar que:
%ara desarrollar una estrategia de auditor)a basada en el riesgo, es cr)tico que se entiendan los riesgos y
vulnerabilidades. Esto determinar+ las +reas a ser auditadas y la e#tensin de la cobertura. Entender si los
controles apropiados requeridos para mitigar los riesgos est+n instalados es un efecto resultante de una
auditor)a. Los riesgos de auditor)a son aspectos in!erentes de la auditor)a, est+n directamente relacionados
revisar:
El primer paso para evaluar los controles de monitoreo de la red debe ser la revisin de la adecuacin
de documentacin de red, espec)ficamente los diagramas de topolog)a. Si esta informacin no est+ actualiada,
entonces los procesos de monitoreo y la capacidad para diagnosticar los problemas no ser+n efectivos.
I
3n auditor de SI deber)a concentrarse en cuando los controles son e$ercidos como flu$os de datos a travs
del sistema de computadora. La opcin , es incorrecta ya que los controles correctivos pueden ser tambin
relevantes. La opcin . es incorrecta ya que los controles correctivos eliminan o reducen los efectos de los
errores o irregularidades y son considerados e#clusivamente como controles compensatorios. La opcin D es
I .uando se implementan sistemas de monitoreo continuo el %&I'E& paso de un auditor de SI es
identificar:
El primer paso y el m+s cr)tico en el proceso es identificar las +reas de alto riesgo dentro de la organiacin.
Los gerentes del departamento de negocios y altos e$ecutivos est+n en las me$ores posiciones para ofrecer una
opinin respecto a estas +reas. 3na ve que las +reas potenciales de implementacin !ayan sido identificadas,
se deber)a realiar una evaluacin del impacto potencial para identificar las aplicaciones que proveen el
I
.uando se realia una investigacin forense de computadora, respecto a las evidencias recolectadas,
un auditor de SI debe preocuparse '/S
de:
La preservacin y la documentacin de evidencias a ser revisadas por las autoridades policiales y $udiciales es
una preocupacin primaria cuando se lleva a cabo una investigacin. "o preservar las evidencias debidamente,
podr)a poner en peligro la aceptacin de las evidencias en los procesos legales. El an+lisis, la evaluacin y la
revelacin son importantes pero no son de importancia primaria en una investigacin forense.
I .uando se seleccionan procedimientos de auditor)a, el (uditor de SI debe usar su $uicio profesional
para asegurar que:
Los procedimientos son procesos posibles que un auditor de SI puede seguir en un traba$o de auditor)a. %ara
determinar si alg*n procedimiento espec)fico es apropiado, el (uditor de SI debe usar su $uicio profesional
apropiado para las circunstancias espec)ficas. >uicio profesional implica una evaluacin sub$etiva y a menudo
cualitativa de las condiciones que surgen en el curso de una auditor)a. El $uicio se ocupa de un +rea gris donde
I Durante la etapa de planeacin de una auditor)a de SI, la meta %&I'(&I( del auditor es:
Las normas de auditor)a de IS(.( requieren que un auditor de SI planee el traba$o de auditor)a para
alcanar los ob$etivos de auditor)a. La opcin , es incorrecta porque el auditor no recoge evidencias en la
etapa de planeacin de una auditor)a. Las opciones . y D son incorrectas porque ellas no son las metas
primarias de planeacin de una auditor)a. Las actividades descritas en las opciones ,, . y D son todas
I
mtodo m+s proactivo ser)a identificar y evaluar las pr+cticas e#istentes de seguridad que la organiacin est+
siguiendo. 3n auditor de SI no debe preparar documentacin, y si lo !iciera, su independencia estar)a en
peligro. Dar por terminada la auditor)a puede impedir que se logren los ob$etivos de la auditor)a, es decir,
I
Durante una revisin de implementacin de una aplicacin distribuida multiusuario, el auditor de
SI encuentra debilidades menores en tres +reasCLa disposicin inicial de par+metros est+ instalada
incorrectamente, se est+n usando contrase9as dbiles y algunos reportes vitales no se est+n verificando
debidamente. 'ientras se prepara el informe de auditor)a, el auditor de SI deber)a:
I
Durante una revisin de los controles sobre el proceso de definir los niveles de servicios de 6I,
un auditor de SI entrevistar)a '/S
probablemente al:
Entender los requerimientos del negocio es clave para definir los niveles de servicio. 'ientras que cada
una de las otras entidades enumeradas puede suministrar alguna definicin la me$or eleccin aqu) es el gerente
de unidad de negocio, debido a los amplios conocimientos que tiene esta persona sobre los requerimientos
relacionados con la organiacin.
I
.omo el nombre no es el mismo 0 debido a variaciones de los primeros nombres 1, un mtodo para
I
El departamento de SI de una organiacin quiere asegurarse de que los arc!ivos de computadora
usados en la instalacin de procesamiento de informacin, estn respaldados adecuadamente para
permitir la recuperacin apropiada. Este es un:
Los ob$etivos de control de SI especifican el con$unto m)nimo de controles para asegurar la eficiencia y
efectividad en las operaciones y funciones dentro de una organiacin. Los procedimientos de control se
desarrollan para proveer una garant)a raonable de que se lograran los ob$etivos espec)ficos. 3n control
correctivo es una categor)a de controles, que est+ dirigida a minimiar la amenaa y7o a remediar los problemas
I El #ito de la autoevaluacin de control 0.S(1 depende en gran medida de:
El ob$etivo primario de un programa de .S( es repaldar la funcin de auditor)a interna pasando algunas de las
responsabilidades de monitoreo de control a los gerentes de l)nea del +rea funcional. El #ito de un programa
de autoevaluacin de control 0.S(1 depende del grado en el que los gerentes de l)nea asumen la
responsabilidad de los controles. Las opciones ,, . y D son caracter)sticas de un mtodo tradicional de auditor)a,
basado en:
El grado !asta donde los datos ser+n recolectados durante una auditor)a de SI debe relacionarse directamente
con el alcance y el propsito de la auditor)a. 3na auditor)a que tenga un propsito y un alcance estrec!os lo
m+s probable es que tendr)a como consecuencia menos recoleccin de datos, que una auditor)a que tuviera
un propsito y un alcance mas amplios. El alcance de una auditor)a de SI no deber)a ser restringidos por la
I El ob$etivo %&I'(&I? de una funcin de auditor)a de SI es:
La ran primaria para llevar a cabo auditor)as de SI es determinar si un sistema salvaguarda los activos y
mantiene la integridad de los datos. E#aminar libros de contabilidad es uno de los procesos involucrados
en una auditor)a de SI pero no es el propsito primario. Detectar fraudes podr)a ser una consecuencia de
una auditor)a de SI pero no es el propsito para el que se realia una auditor)a de SI.
Dabilitar pistas de auditor)a ayuda establecer la obligacin de rendir cuentas y la responsabilidad de las
procesamiento adicional que puede en realidad reducir el tiempo de respuesta para los usuarios. Dabilitar pistas
I El propsito %&I'(&I? de un contrato de auditor)a es:
El contrato de auditor)a t)picamente establece la funcin y la responsabilidad del departamento de auditor)a
interna. Deber)a establecer los ob$etivos de la gerencia y la delegacin de autoridad al departamento de
auditor)a. Este se cambia muy pocas veces y no contiene el plan de auditor)a o el proceso de auditor)a
que es por lo general parte del plan anual de auditor)a, ni describe un cdigo de conducta profesional ya
I
El riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya que
los errores materiales no e#isten cuando en realidad e#isten, es un e$emplo de:
Este es un e$emplo de riesgo de deteccin.
I El uso de procedimientos estad)sticos de muestreo ayuda a minimiar el riesgo:
El riesgo de deteccin es el riesgo de que el auditor de SI use un procedimiento inadecuado de prueba y
concluya que los errores materiales no e#isten, cuando en realidad s) e#isten. 3sando muestreo estad)stico,
un auditor de SI puede cuantificar con qu apro#imacin debe la muestra representar a la poblacin y debe
cuantificar la probabilidad de error. El riesgo de muestreo es el riesgo de que se !agan supuestos incorrectos sobre
I
El vicepresidente de recursos !umanos !a solicitado una auditor)a para identificar los sobrepagos
de planilla7nmina para el a9o anterior.
planilla7nmina y, de ese modo, determinar si !ubo sobrepagos, y a quines fueron efectuados. Los datos
I
En el curso de la realiacin de un an+lisis de riesgo, un auditor de SI !a identificado amenaas
e impactos potenciales. Inmediatamente despus, un auditor de SI debe:
I En el proceso de evaluar los controles de cambio de programa, un auditor de SI usar)a soft8are de
comparacin de cdigo fuente para:
El auditor tiene una garant)a ob$etiva, independiente y relativamente completa de cambio de programa, ya que la
comparacin del cdigo fuente identificar+ los cambios. La opcin , no es cierta, ya que los cambios !ec!os
desde la adquisicin de la copia no est+n incluidos en la copia del soft8are. La opcin . no es cierta ya que el
(uditor de SI tendr+ que obtener esta garant)a por separado. La opcin D no es cierta, ya que cualesquiera
I En los casos en que !ay desacuerdo, durante una entrevista de salida, respecto al impacto de un
!allago, el auditor de SI debe:
Si los auditados no estuvieran de acuerdo con el impacto de un !allago, es importante que el auditor de SI
elabore y aclare los riesgos y e#posiciones, ya que es posible que los auditados no aprecien totalmente la
magnitud de la e#posicin. La meta debe ser e#plicar a los auditados o descubrir nueva informacin de
que el auditor de SI puede no !aber estado en conocimiento. .ualquier cosa que pareca amenaar a
I En un enfoque de auditor)a basado en el riesgo, un auditor de SI deber)a realiar primero una:
El primer paso en un enfoque de auditor)a basada en el riesgo es recolectar informacin sobre el negocio y la
industria para evaluar los riesgos in!erentes. Despus de realiar la evaluacin de los riesgos in!erentes, el
siguiente paso ser)a realiar una evaluacin de la estructura de control interno. Los controles serian entonces
probados sobre la base de los resultados de prueba, se realiar)an las pruebas sustantivas y serian evaluadas.
I En un enfoque de auditor)a basado en el riesgo, un auditor de SI, adem+s del riesgo, estar)a
influenciado por la:
La e#istencia de controles internos y operativos tendr+ un peso sobre el enfoque de la auditor)a por el auditor
de SI. En un enfoque basado en el riesgo, el auditor de SI no se esta basando solamente en el riesgo, sino
tambin en los controles internos y operativos as) como tambin en el conocimiento de la compa9)a y del
negocio. Este tipo de decisin de an+lisis del riesgo puede ayudar a relacionar el an+lisis costoCbeneficio del
I
En un servidor cr)tico, un auditor de SI descubre un caballo de 6roya que fue producido por
un virus conocido que e#plota una vulnerabilidad de un sistema operativo. -.u+l de los siguientes
deber)a !acer %&I'E&? un auditor2
La prioridad es salvaguardar el sistema4 por lo tanto, el auditor de SI deber)a sugerir controles correctivos,
i.e., eliminar el cdigo. El auditor de SI no es responsable de investigar el virus. El auditor de SI puede
analiar la informacin del virus y determinar si ste !a afectado el sistema operativo, pero esta es una tarea
investigativa que tendr)a lugar despus de asegurarse que el cdigo malicioso !a sido eliminado. Instalar el
I
En una auditor)a de SI de varios servidores cr)ticos, el auditor quiere analiar las pistas de auditor)a
para descubrir potenciales anomal)as en el comportamiento de usuarios o del sistema. -.u+l de las
!erramientas siguientes es la '/S adecuada para realiar esa tarea2
Las !erramientas de deteccin de tendencias 7varianas buscan anomal)as en el comportamiento de usuarios o
del sistema, por e$emplo, determinando para los documentos prenumerados si los n*meros son secuenciales o
incrementales. Las !erramientas .(SE se usan para asistir en el desarrollo de soft8are. El soft8are integrado de
recoleccin de datos 0auditor)a1 se usa para tomar muestras y para proveer estad)sticas de produccin. Las
I En una auditor)a de una aplicacin de inventario, -qu mtodo proveer+ la 'E>?& evidencia de que las
rdenes de compra son v+lidas2
%ara determinar la valide de la orden de compra, probar los controles de acceso proveer+ la me$or evidencia.
Las opciones , y . est+n basadas en mtodos posteriores al !ec!o, y la opcin D no sirve al propsito
porque lo que est+ en la documentacin del sistema puede no ser lo mismo que lo que est+ ocurriendo.
I
La alta gerencia !a solicitado que un auditor de SI asista a la gerencia departamental en la
implementacin de los controles necesarios. El auditor de SI deber)a:
En esta situacin el auditor de SI deber)a informar a la gerencia sobre el per$uicio a la independencia para
llevar a cabo auditor)as posteriores en el +rea del auditado. 3n auditor de SI puede realiar asignaciones que
no sean de auditor)a cuando la e#periencia y conocimientos del auditor pueden ser de utilidad para la
gerencia4 sin embargo, realiando la asignacin que no es de auditor)a, el auditor de SI no puede llevar a cabo
I La evaluacin de riesgos es un proceso:
El lineamiento de auditor)a de SI sobre el uso de un an+lisis del riesgo en la planeacin de auditor)a e#presa:
Gldquo46odas las metodolog)as de an+lisis de riesgo se basan en $uicios sub$etivos en ciento momento del
proceso 0por e$emplo, para asignar ponderaciones a los diversos par+metros.1 El auditor de SI debe
identificar las decisiones sub$etivas requeridas para usar una metodolog)a en particular y considerar si estos
I La funcin %&I'(&I( de un auditor de SI durante la fase de dise9o del sistema de un proyecto de
desarrollo de aplicaciones es:
La funcin del auditor de SI es asegurar que estn incluidos los controles requeridos. ( menos que est
presente espec)ficamente como un consultor, el auditor de SI no deber)a participar en dise9os detallados.
Durante la fase de dise9o, la funcin primaria del auditor de SI es asegurar que estn incluidos los controles. (
menos que !aya alg*n desv)o potencial que reportar, al auditor de SI no le concierne el control de proyecto en
I La funcin tradicional de un auditor de SI en una autoevaluacin de control 0control selfCassessmentC
.S(1 debe ser la de:
.uando se establecen los programas de .S(, los auditores de SI se convierten en profesionales de control
interno y en facilitadores de evaluaciones. Los auditores de SI son los facilitadores y el cliente 0gerencia y
personal1 es el participante en el proceso de .S(. Durante un taller de .S(, en ve de que el auditor de SI
realice procedimientos detallados de auditor)a, deber)a conducir y orientar a los clientes para evaluar su
I
Day una venta$a de costo en no sobreproteger la informacin. Sin embargo una venta$a a*n mayor es
asegurarse que ning*n activo de informacin esta sobre ni protegido de manera insuficiente. El enfoque de la
I La ran %&I'(&I( de un auditor de SI que realia un recorrido profesional durante la fase
preliminar de una asignacin de auditor)a es:
Entender el proceso de negocio es el primer paso que el (uditor de SI necesita realiar. Los est+ndares no
requieren que el auditor realice un recorrido del proceso. Identificar las debilidades de los controles no es
la ran primaria para el recorrido y ocurre t)picamente en una etapa posterior en la auditor)a, y planear las
pruebas sustantivas tambin se !ace en una etapa posterior en la auditor)a.
I
La responsabilidad, autoridad y obligacin de rendir cuentas de las funciones de auditor)a de los
sistemas de informacin est+n debidamente documentadas en una carta o contrato de auditor)a 0(udit
.!arter1 y DE,E" ser:
La norma sobre responsabilidad, autoridad y obligacin de rendir cuentas e#presa Gldquo4La responsabilidad
autoridad, y obligaciones de rendir cuentas de la funcin de auditor)a de los sistemas de informacin deben
ser debidamente documentadas en una carta de auditor)a o carta compromiso.Grdquo4 Las opciones , y .
son incorrectas porque la carta de auditor)a debe ser aprobada por la gerencia de mas alto nivel, no
I La venta$a %&I'(&I( de un enfoque continuo de auditor)a es que:
El uso de tcnicas continuas de auditor)a puede en realidad me$orar la seguridad del sistema cuando se
usa en entornos que comparten el tiempo que procesan un gran numero de transacciones, pero de$an muy
pocas pistas de papel. La opcin ( es incorrecta ya que el enfoque de auditor)a continua a menudo
requiere que un auditor de SI recolecte evidencia sobre la confiabilidad del sistema mientras est+ llevando a
I
Los an+lisis de riesgos realiados por los auditores de SI son un factor cr)tico para la planeacin de la
auditor)a. Se debe !acer un an+lisis del riesgo para proveer:
La directri para la auditor)a de SI sobre la planeacin de la auditor)a de SI establece: Gldquo4Se debe
!acer un an+lisis de riesgo para proveer garant)a raonable de que se abarcaran adecuadamente los puntos
materiales. Este an+lisis debe identificar +reas con riesgo relativamente alto de e#istencia de problemas
materialesGrdquo4. :arant)a suficiente de que se abarcaran los puntos materiales durante el traba$o de
I Los diagramas de flu$o de datos son usados por los (uditores de SI para:
Los diagramas de flu$o de datos se usan como ayudas para graficar o diagramar el flu$o y almacenamiento de
datos, con ellos se rastrean los datos desde su origen !asta su destino, resaltando las rutas y el almacenamiento
de los datos. Los diagramas de flu$o no ordenan los datos en ning*n orden $er+rquico. El flu$o de los datos
no coincidir+ necesariamente con ning*n orden $er+rquico o de generacin de datos.
paso ser)a:
'onitorear el tiempo 0(1 y los programas de auditor)a 0D1, as) como tambin una capacitacin adecuada
0,1 me$orar+ la productividad del personal de auditor)a de SI 0eficiencia y desempe9o1, pero lo que
entrega valor a la organiacin son los recursos y esfueros que se est+n dedicando y que est+n
concentrados en las +reas de mayor riesgo.
I %ara determinar la suma de dlares de los c!eques emitidos a cada vendedor en un per)odo
especificado, el (uditor de SI debe usar:
El soft8are generaliado de auditor)a facilitar+ la revisin de todo el arc!ivo para buscar los ob$etos que
satisfagan los criterios de seleccin. El soft8are generaliado de auditor)a provee acceso a los datos y
provee las caracter)sticas de cmputo, estratificacin, etc. El simulacro paralelo procesa los datos de
produccin usando programas de computadora que simulan la lgica de programa de aplicacin y no
I
%ara identificar el valor del inventario que se !a guardado 0no !an rotado1 por m+s de oc!o semanas,
lo '/S probable es que un auditor de
SI utilice:
El soft8are generaliado de auditor)a facilitara la revisin de todo el arc!ivo de inventario para buscar los
rubros que cumplan los criterios de seleccin. El soft8are generaliado de auditor)a provee acceso directo a los
datos y provee funciones de cmputo, estratificacin, etc. Los datos de prueba son usados para verificar
programas, pero no confirmaran nada sobre las transacciones en cuestin. El uso de mtodos de muestreo
I &especto al muestreo, se puede decir que:
El muestreo estad)stico cuantifica que tan apro#imadamente deber)a una muestra representar a la poblacin, por
lo general como un porcenta$e. Si el auditor sabe que los controles internos son fuertes, el coeficiente de
confiana puede descender. El muestreo es generalmente aplicable cuando la poblacin se refiere a un control
tangible o documentado. La opcin . es una descripcin del muestreo detenerse o seguir. La opcin D
I &evisar los planes estratgicos a largo plao de la gerencia ayuda al auditor de SI a:
La planeacin estratgica pone en movimiento los ob$etivos corporativos o departamentales. La planeacin
estratgica est+ orientada al tiempo y al proyecto, pero debe tambin tratar y ayudar a determinar prioridades
para satisfacer las necesidades del negocio. &evisar los planes estratgicos a largo plao no alcanar)a los
ob$etivos e#presados por las otras opciones.
I
independencia del auditor de sistemas2 El auditor de sistemas:
I 3n auditor de SI debe usar muestreo estad)stico y no muestreo de $uicio 0no estad)stico1, cuando:
Dada una tasa de error esperado y un nivel de confiana, el muestreo estad)stico es un mtodo ob$etivo
de muestreo, que ayuda a un auditor de SI a determinar el tama9o de la muestra y a cuantificar la
probabilidad de error 0coeficiente de confiana1. La opcin , es incorrecta porque el riesgo de muestreo es el
riesgo de que una muestra no sea representativa de la poblacin. Este riesgo e#iste tanto para las muestras de
I
3n auditor de SI descubre evidencia de fraude perpetrado con la identificacin del usuario de
un :erente. El gerente !ab)a escrito la contrase9a, asignada por el administrador del sistema,
dentro del ca$n7 la gaveta de su escritorio. El auditor de SI deber)a concluir que el:
Las debilidades de control de contrase9a significan que cualquiera de las otras tres opciones podr)a ser
cierta. La seguridad de contrase9a identificar)a normalmente al perpetrador. En este caso, no establece culpa
m+s all+ de la duda
I
3n (uditor de SI emite un reporte de auditor)a se9alando la falta de funciones de proteccin de
fire8all en la entrada 0gate8ay1 perimetral de la red y recomienda que un vendedor de productos
resuelva esta vulnerabilidad. El auditor no !a e$ercido:
.uando un auditor de SI recomienda un vendedor espec)fico, ellos comprometen su independencia
profesional. La independence organiacional no tiene relevancia para el contenido de un reporte de auditor)a y
debe considerarse en el momento de aceptar el compromiso. Las competencias tcnica y profesional no son
relevantes para el requerimiento de independencia.
I
Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en l)nea de documentacin
de red. ?tras funciones ser)an el acceso del usuario a diversos recursos de anfitriones 0!osts1 de red, la
autoriacin del usuario a tener acceso a recursos particulares y la red y las computadoras anfitrionas
0!osts1 a ser usadas sin acciones o comandos especiales de usuario. Las opciones ,, . y D son e$emplos de
I
3n auditor de SI est+ evaluando una red corporativa en busca de una posible penetracin por
parte de empleados internos. -.u+l de los !allagos siguientes deber)a preocupar '/S al auditor de
SI2
El aprovec!amiento de un ID y contrase9a de usuario conocidos requiere m)nimos conocimientos tcnicos y
e#pone los recursos de la red a la e#plotacin
0maliciosa 1. La barrera tcnica es ba$a y el impacto puede ser muy elevado4 por lo tanto, el !ec!o de que muc!os
IDs de usuario tengan contrase9as idnticas representa la mayor amenaa. Los mdems e#ternos representan un
riesgo de seguridad, pero la e#plotacin o aprovec!amiento a*n depende del uso de una cuenta v+lida de
I
3n auditor de SI est+ revisando el acceso a una aplicacin para determinar si los ;A formularios
Gldquo 4nuevo usuarioGrdquo4 m+s recientes fueron correctamente autoriados. Este es un e$emplo
de:
La prueba de cumplimiento determina si los controles se est+n aplicando de acuerdo con las pol)ticas. Esto
incluye pruebas para determinar si las nuevas cuentas fueron debidamente autoriadas. El muestreo de
variables se usa para estimar los valores numricos, tales como valores de dlar. La prueba sustantiva
sustancia la integridad del procesamiento real, como por e$emplo los saldos de los estados financieros. El
I
revisar:
instalados. De manera similar, la eficacia de los controles debe ser considerada durante la etapa de mitigacin
I
3n auditor de SI eval*a los resultados de prueba de una modificacin a un sistema que trata con
cmputo de pagos. El auditor encuentra que el <A B de los c+lculos no coinciden con los totales
predeterminados. -.u+l de los siguientes es '/S probable que sea el siguiente paso en la auditor)a2
El auditor de SI deber)a luego e#aminar casos donde ocurrieron c+lculos incorrectos y confirmar los
resultados. Despus de que los c+lculos !ayan sido confirmados, m+s pruebas pueden ser llevadas a cabo y
revisadas. La preparacin de reportes, !allagos y recomendaciones no se !ar)a !asta que todos los resultados
fueran confirmados.
I
3n auditor de SI !a evaluado los controles en busca de la integridad de los datos en una
aplicacin financiera. -.u+l de los !allagos siguientes ser)a el '/S significativo2
Este es el !allago m+s significativo ya que afecta directamente la integridad de los datos de la aplicacin y es
evidencia de un proceso inadecuado de control de cambios y los derec!os de acceso incorrectos al entorno de
procesamiento. ( pesar de que las copias de respaldo slo una ve por semana es un !allago, ello no afecta la
integridad de los datos en el sistema. La documentacin incompleta de desarrollo de la aplicacin no afecta la
I
3n auditor de SI !a importado datos de la base de datos del cliente. El paso siguiente para confirmar
si los datos importados est+n completos se lleva a cabo:
.omparar los totales de control de los datos importados con los totales de control de los datos originales es el
siguiente paso lgico, ya que esto confirma la integridad de los datos importados. "o es posible confirmar la
totalidad 0completeness1 clasificando los datos importados, porque los datos originales pueden no estar en el
orden de clasificacin. (dem+s la clasificacin no provee totales de control para verificar la totalidad
I
3n (uditor de SI que entrevista a un empleado de planilla encuentra que las respuestas no
respaldan las descripciones de los puestos de traba$o y de los procedimientos documentados. ,a$o
estas circunstancias, el (uditor de SI debe:
Si las respuestas que se dieron a las preguntas del auditor no fueran confirmadas por los procedimientos
documentados o por las descripciones de los puestos de traba$o, el (uditor de SI debe e#pandir el alcance de
las pruebas de los controles e incluir pruebas sustantivas adicionales. "o !ay evidencias de si los controles que
podr)an e#istir son adecuados o inadecuados. %oner mayor confiana en las auditor)as anteriores o
I
debe asumir la funcin del oficial de cumplimiento niasumir participacin personal alguna para retirar o
I 3n auditor de SI que realia una revisin de los controles de aplicacin evaluar)a:
3n control de revisin de aplicaciones implica la evaluacin de los controles automatiados de la aplicacin y
una evaluacin de cualesquiera e#posiciones resultantes de las debilidades del control. Las otras opciones
pueden ser ob$etivos de una auditor)a de aplicacin pero no forman parte de una auditor)a restringida a una
revisin de controles.
I 3n auditor de SI revisa un organigrama %&I'(&I('E"6E para:
3n organigrama provee informacin sobre las responsabilidades y la autoridad de personas en la organiacin.
Esto ayuda al auditor de SI a saber si !ay una segregacin apropiada de funciones. 3n diagrama de flu$o de
traba$o proporcionar)a informacin sobre las funciones de diferentes empleados. 3n diagrama de red proveer+
informacin sobre el uso de diversos canales de comunicacin e indicar+ la cone#in de los usuarios a la red.
I
3n auditor de SI revisando la efectividad de los controles de 6I, encontr un informe de
auditor)a anterior, sin documentos de traba$o.
-.mo debe proceder el auditor de SI2
En ausencia de documentos de traba$o de auditor)a, un auditor de SI debe volver a probar los controles para ver
su efectividad. Sin volver a probar el auditor no estar+ e$erciendo el debido cuidado profesional mientras
realia la auditor)a. Los documentos de traba$o pueden ayudar al auditor a eliminar la necesidad de volver a
probar4 sin embargo, el auditor debe estar preparado para volver a probar los controles.
I
'/S probable es que:
I
3n beneficio %&I'(&I? para una organiacin que emplea tcnicas de auto evaluacin de controles
0control selfCassessmentC.S(1, es que ella:
participacin de tanto los auditores como la gerencia de l)nea. Lo que ocurre es que la funcin de auditor)a
interna pasa algunas de las responsabilidades de monitoreo de control a las +reas funcionales. La respuesta . es
3n contrato de auditor)a deber)a establecer los ob$etivos de la gerencia para, y la delegacin de autoridad
a la auditor)a de SI. Este contrato no deber)a cambiar de manera significativa con l tiempo y deber)a ser
aprobado al nivel mas alto de la gerencia. El contrato de auditor)a no estar)a a un nivel de detalle y por lo tanto
no incluir)a ob$etivos o procedimientos espec)ficos de auditor)a.
I 3n elemento clave en un an+lisis de riesgo es 7son:
Las vulnerabilidades son un elemento clave en la realiacin de un an+lisis de riesgo. La planeacin de la
auditor)a est+ constituida por procesos de corto y largo plao que pueden detectar amenaas a los activos
de informacin. Los controles mitigan los riesgos asociados con amenaas espec)ficas. Las
responsabilidades son parte del negocio y no son un riesgo en forma in!erente.
I
3na accin correctiva !a sido tomada por un auditado inmediatamente despus de la identificacin
de un !allago que deber)a ser reportado. El auditor debe:
Incluir el !allago en el reporte final es una pr+ctica de auditor)a generalmente aceptada. Si se emprende una
accin despus de que comen la auditor)a y antes de que terminara, el reporte de auditor)a debe identificar
el !allago y describir la accin correctiva tomada. 3n reporte de auditor)a debe refle$ar la situacin, tal
como sta e#ist)a en el comieno de la auditor)a. 6odas las acciones correctivas emprendidas por el auditado
I 3na prueba integrada 0integrated test facilityCI6@1 se considera una !erramienta *til de auditor)a
porque:
I 3na prueba sustantiva para verificar que los registros de inventario de biblioteca de cintas son
correctos, es:
3na prueba sustantiva incluye recolectar evidencias para evaluar la integridad de las transacciones individuales, de
los datos o de otra informacin. 3n conteo f)sico del inventario de cintas es una prueba sustantiva. Las opciones (,
, y D son pruebas de cumplimiento.
I
3n auditor de SI est+ revisando el acceso a una aplicacin para determinar si los ;A
formularios =nuevo usuario= m+s recientes fueron correctamente autoriados. Este es un e$emplo de:
La prueba de cumplimiento determina si los controles se est+n aplicando de acuerdo con las pol)ticas. Esto
incluye pruebas para determinar si las nuevas cuentas fueron debidamente autoriadas. El muestreo de
variables se usa para estimar los valores numricos, tales como valores de dlar. La prueba sustantiva
sustancia la integridad del procesamiento real, como por e$emplo los saldos de los estados financieros. El
I -Las decisiones y las acciones de un auditor es '+S probable que afecten a cu+l de los riesgos
siguientes2
3n riesgo de deteccin est+ directamente afectado por la seleccin, por parte del auditor, de los procedimientos y
tcnicas de auditor)a. Los riesgos in!erentes por lo general no est+n afectados por el auditor de SI. 3n
riesgo de control es controlado por las acciones de la gerencia de la compa9)a. Los riesgos financieros no
est+n afectados por el auditor de SI.
I
La alta gerencia !a solicitado que un auditor de SI asista a la gerencia departamental en la
implementacin de los controles necesarios. El auditor de SI deber)a:
En esta situacin el auditor de SI deber)a informar a la gerencia sobre el per$uicio a la independencia para llevar
a cabo auditor)as posteriores en el +rea del auditado. 3n auditor de SI puede realiar asignaciones que no sean
de auditor)a cuando la e#periencia y conocimientos del auditor pueden ser de utilidad para la gerencia4 sin
embargo, realiando la asignacin que no es de auditor)a, el auditor de SI no puede llevar a cabo futuras
3na prueba sustantiva confirma la integridad del procesamiento real. 3na prueba sustantiva determinar)a si
los registros de la biblioteca de cintas est+n establecidos correctamente. 3na prueba de cumplimiento
I El uso de procedimientos estad)sticos de muestreo ayuda a minimiar el riesgo:
El riesgo de deteccin es el riesgo de que el auditor de SI use un procedimiento inadecuado de prueba y
concluya que los errores materiales no e#isten, cuando en realidad s) e#isten. 3sando muestreo estad)stico,
un auditor de SI puede cuantificar con qu apro#imacin debe la muestra representar a la poblacin y debe
cuantificar la probabilidad de error. El riesgo de muestreo es el riesgo de que se !agan supuestos incorrectos
las +reas de mayor riesgo. El desarrollo de un cronograma de auditor)a no est+ dirigido por un mtodo basado
en el riesgo. Los cronogramas de auditor)a pueden ser preparados con meses de anticipacin usando diversos
mtodos de cronograma. 3n mtodo de riesgo no tiene una correlacin directa con que el personal de auditor)a
I El ob$etivo %&I'(&I? de una funcin de auditor)a de SI es:
La ran primaria para llevar a cabo auditor)as de SI es determinar si un sistema salvaguarda los activos y
mantiene la integridad de los datos. E#aminar libros de contabilidad es uno de los procesos involucrados
en una auditor)a de SI pero no es el propsito primario. Detectar fraudes podr)a ser una consecuencia de
una auditor)a de SI pero no es el propsito para el que se realia una auditor)a de SI.
I
debe asumir la funcin del oficial de cumplimiento niasumir participacin personal alguna para retirar o
I 3n elemento clave en un an+lisis de riesgo es 7son:
Las vulnerabilidades son un elemento clave en la realiacin de un an+lisis de riesgo. La planeacin de la
auditor)a est+ constituida por procesos de corto y largo plao que pueden detectar amenaas a los activos de
informacin. Los controles mitigan los riesgos asociados con amenaas espec)ficas. Las responsabilidades
son parte del negocio y no son un riesgo en forma in!erente.
3n contrato de auditor)a deber)a establecer los ob$etivos de la gerencia para, y la delegacin de autoridad
a la auditor)a de SI. Este contrato no deber)a cambiar de manera significativa con l tiempo y deber)a ser
aprobado al nivel mas alto de la gerencia. El contrato de auditor)a no estar)a a un nivel de detalle y por lo tanto
no incluir)a ob$etivos o procedimientos espec)ficos de auditor)a.
I En un enfoque de auditor)a basado en el riesgo, un auditor de SI, adem+s del riesgo, estar)a
influenciado por la:
La e#istencia de controles internos y operativos tendr+ un peso sobre el enfoque de la auditor)a por el auditor
de SI. En un enfoque basado en el riesgo, el auditor de SI no se esta basando solamente en el riesgo, sino
tambin en los controles internos y operativos as) como tambin en el conocimiento de la compa9)a y del
negocio. Este tipo de decisin de an+lisis del riesgo puede ayudar a relacionar el an+lisis costoCbeneficio del
I
Day una venta$a de costo en no sobreproteger la informacin. Sin embargo una venta$a a*n mayor es asegurarse
que ning*n activo de informacin esta sobre ni protegido de manera insuficiente. El enfoque de la evaluacin
I -.u+l de los mtodos de muestreo es el '+S *til cuando se pone a prueba su cumplimiento2
El muestreo de atributos es el mtodo primario de muestreo que se usa para comprobar el cumplimiento. El
muestreo de atributos es un modelo de muestreo que se usa para estimar la tasa de ocurrencia de una
calidad especifica 0atributo1 en una poblacin y se usa en la comprobacin de cumplimiento para
confirmar si esta calidad e#iste o no. Las otras elecciones se usan en comprobaciones substantivas que involucran
I El propsito %&I'(&I? de un contrato de auditor)a es:
El contrato de auditor)a t)picamente establece la funcin y la responsabilidad del departamento de auditor)a
interna. Deber)a establecer los ob$etivos de la gerencia y la delegacin de autoridad al departamento de
auditor)a. Este se cambia muy pocas veces y no contiene el plan de auditor)a o el proceso de auditor)a
que es por lo general parte del plan anual de auditor)a, ni describe un cdigo de conducta profesional ya
I
-.u+l de las siguientes es la ran '+S probable de por qu los sistemas de correo electrnico
se !an convertido en una fuente *til de evidencia en litigios2
cuenta de la emisin de un documento en particular, pero esto no provee evidencia del correo
Electrnico. Las normas de clasificacin de datos pueden !aber sido fi$adas respecto a lo que deber)a
I
El departamento de SI de una organiacin quiere asegurarse de que los arc!ivos de computadora
usados en la instalacin de procesamiento de informacin, estn respaldados adecuadamente para
permitir la recuperacin apropiada. Este es un:
Los ob$etivos de control de SI especifican el con$unto m)nimo de controles para asegurar la eficiencia y
efectividad en las operaciones y funciones dentro de una organiacin. Los procedimientos de control se
desarrollan para proveer una garant)a raonable de que se lograran los ob$etivos espec)ficos. 3n control
correctivo es una categor)a de controles, que est+ dirigida a minimiar la amenaa y7o a remediar los problemas
I
independencia del auditor de sistemas2 El auditor de sistemas:
I La venta$a %&I'(&I( de un enfoque continuo de auditor)a es que:
El uso de tcnicas continuas de auditor)a puede en realidad me$orar la seguridad del sistema cuando se
usa en entornos que comparten el tiempo que procesan un gran numero de transacciones, pero de$an muy
pocas pistas de papel. La opcin ( es incorrecta ya que el enfoque de auditor)a continua a menudo
requiere que un auditor de SI recolecte evidencia sobre la confiabilidad del sistema mientras est+ llevando a cabo
I -.u+l de los siguientes es un ob$etivo de un programa de auto evaluacin de control 0.S(12
Los ob$etivos de los programas .S( incluyen la educacin para la gerencia de l)nea en responsabilidad del
control, seguimiento y concentracin de todos en las +reas de alto riesgo. Los ob$etivos de los programas de
.S( incluyen el aumento de las responsabilidades de auditor)a, no el reemplao de las responsabilidades
de auditor)a. Las opciones . y D son !erramientas de .S( y no ob$etivos.
I
-.u+l de las siguientes pruebas es realiada por un auditor de SI cuando es seleccionada una
muestra de programas para determinar si las versiones fuentes y las versiones ob$eto son las mismas2
3na prueba de cumplimiento determina si los controles est+n operando como se dise9aron y si est+n siendo
aplicados en tal forma que cumplan con las pol)ticas y procedimientos de gerencia. %or e$emplo, si al
auditor de SI le preocupa si los controles de biblioteca de programas est+n funcionando correctamente, el
auditor de SI podr)a seleccionar una muestra de programas para determinar si las versiones fuente y las
Dabilitar pistas de auditor)a ayuda establecer la obligacin de rendir cuentas y la responsabilidad de las
procesamiento adicional que puede en realidad reducir el tiempo de respuesta para los usuarios. Dabilitar pistas
I
El riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya que los
errores materiales no e#isten cuando en realidad e#isten, es un e$emplo de:
Este es un e$emplo de riesgo de deteccin.
I En un enfoque de auditor)a basado en el riesgo, un auditor de SI deber)a realiar primero una:
El primer paso en un enfoque de auditor)a basada en el riesgo es recolectar informacin sobre el negocio y la
industria para evaluar los riesgos in!erentes. Despus de realiar la evaluacin de los riesgos in!erentes, el
siguiente paso ser)a realiar una evaluacin de la estructura de control interno. Los controles serian entonces
probados sobre la base de los resultados de prueba, se realiar)an las pruebas sustantivas y serian evaluadas.
I &especto al muestreo, se puede decir que:
El muestreo estad)stico cuantifica que tan apro#imadamente deber)a una muestra representar a la poblacin, por
lo general como un porcenta$e. Si el auditor sabe que los controles internos son fuertes, el coeficiente de
confiana puede descender. El muestreo es generalmente aplicable cuando la poblacin se refiere a un control
tangible o documentado. La opcin . es una descripcin del muestreo detenerse o seguir. La opcin D es una
I La evaluacin de riesgos es un proceso:
El lineamiento de auditor)a de SI sobre el uso de un an+lisis del riesgo en la planeacin de auditor)a e#presa:
=6odas las metodolog)as de an+lisis de riesgo se basan en $uicios sub$etivos en ciento momento del proceso
0por e$emplo, para asignar ponderaciones a los diversos par+metros.1 El auditor de SI debe identificar las
decisiones sub$etivas requeridas para usar una metodolog)a en particular y considerar si estos $uicios pueden
I
La responsabilidad, autoridad y obligacin de rendir cuentas de las funciones de auditor)a de los
sistemas de informacin est+n debidamente documentadas en una carta o contrato de auditor)a 0(udit
.!arter1 y DE,E" ser:
La norma sobre responsabilidad, autoridad y obligacin de rendir cuentas e#presa =La responsabilidad
autoridad, y obligaciones de rendir cuentas de la funcin de auditor)a de los sistemas de informacin deben
ser debidamente documentadas en una carta de auditor)a o carta compromiso.= Las opciones , y . son
incorrectas porque la carta de auditor)a debe ser aprobada por la gerencia de mas alto nivel, no meramente
I &evisar los planes estratgicos a largo plao de la gerencia ayuda al auditor de SI a:
La planeacin estratgica pone en movimiento los ob$etivos corporativos o departamentales. La planeacin
estratgica est+ orientada al tiempo y al proyecto, pero debe tambin tratar y ayudar a determinar prioridades
para satisfacer las necesidades del negocio. &evisar los planes estratgicos a largo plao no alcanar)a los
ob$etivos e#presados por las otras opciones.
I
revisar:
instalados. De manera similar, la eficacia de los controles debe ser considerada durante la etapa de mitigacin
I (l planear una auditor)a, el paso '+S cr)tico es la identificacin de:
.uando se dise9a un plan de auditor)a, es importante identificar las +reas de m+s alto riesgo para
determinar las +reas a ser auditadas. Los con$untos de !abilidades del personal de auditor)a deber)an !aberse
considerado antes de decidir y de escoger la auditor)a. Los pasos de prueba para la auditor)a no son tan cr)ticos
como identificar las +reas de riesgo, y el tiempo asignado para una auditor)a est+ determinado por las
I
3n beneficio %&I'(&I? para una organiacin que emplea tcnicas de auto evaluacin de controles
0control selfCassessmentGmdas!4.S(1, es que ella:
participacin de tanto los auditores como la gerencia de l)nea. Lo que ocurre es que la funcin de auditor)a
interna pasa algunas de las responsabilidades de monitoreo de control a las +reas funcionales. La respuesta . es
basado en:
El grado !asta donde los datos ser+n recolectados durante una auditor)a de SI debe relacionarse directamente
con el alcance y el propsito de la auditor)a. 3na auditor)a que tenga un propsito y un alcance estrec!os lo
m+s probable es que tendr)a como consecuencia menos recoleccin de datos, que una auditor)a que tuviera
un propsito y un alcance mas amplios. El alcance de una auditor)a de SI no deber)a ser restringidos por
I .uando se implementan sistemas de monitoreo continuo el %&I'E& paso de un auditor de SI es
identificar:
El primer paso y el m+s cr)tico en el proceso es identificar las +reas de alto riesgo dentro de la organiacin.
Los gerentes del departamento de negocios y altos e$ecutivos est+n en las me$ores posiciones para ofrecer una
opinin respecto a estas +reas. 3na ve que las +reas potenciales de implementacin !ayan sido identificadas,
se deber)a realiar una evaluacin del impacto potencial para identificar las aplicaciones que proveen el
I
Los an+lisis de riesgos realiados por los auditores de SI son un factor cr)tico para la planeacin de la
auditor)a. Se debe !acer un an+lisis del riesgo para proveer:
La directri para la auditor)a de SI sobre la planeacin de la auditor)a de SI establece: =Se debe !acer un an+lisis
de riesgo para proveer garant)a raonable de que se abarcaran adecuadamente los puntos materiales. Este
an+lisis debe identificar +reas con riesgo relativamente alto de e#istencia de problemas materiales=.
:arant)a suficiente de que se abarcaran los puntos materiales durante el traba$o de auditor)a es una proposicin
I La funcin %&I'(&I( de un auditor de SI durante la fase de dise9o del sistema de un proyecto de
desarrollo de aplicaciones es:
La funcin del auditor de SI es asegurar que estn incluidos los controles requeridos. ( menos que est
presente espec)ficamente como un consultor, el auditor de SI no deber)a participar en dise9os detallados.
Durante la fase de dise9o, la funcin primaria del auditor de SI es asegurar que estn incluidos los controles. (
menos que !aya alg*n desv)o potencial que reportar, al auditor de SI no le concierne el control de proyecto en esta
I
En una auditor)a de SI de varios servidores cr)ticos, el auditor quiere analiar las pistas de auditor)a
para descubrir potenciales anomal)as en el comportamiento de usuarios o del sistema. -.u+l de las
!erramientas siguientes es la '+S adecuada para realiar esa tarea2
Las !erramientas de deteccin de tendencias 7varianas buscan anomal)as en el comportamiento de usuarios o
del sistema, por e$emplo, determinando para los documentos prenumerados si los n*meros son secuenciales o
incrementales. Las !erramientas .(SE se usan para asistir en el desarrollo de soft8are. El soft8are integrado de
recoleccin de datos 0auditor)a1 se usa para tomar muestras y para proveer estad)sticas de produccin. Las
I -.u+l de los siguientes podr)a ser usado por un auditor de SI para validar la efectividad de las rutinas
de edicin y de validacin2
La prueba de integridad de dominio est+ dirigida a verificar que los datos se a$usten a las definiciones,
i.e., los elementos de datos est+n todos en los dominios correctos. El ob$etivo principal de este e$ercicio es
verificar que las rutinas de edicin y de validacin est+n funcionando de manera satisfactoria. Las pruebas de
integridad relacional se realian a nivel del registro y por lo general implican calcular y verificar diversos campos
I
3n auditor de SI !a evaluado los controles en busca de la integridad de los datos en una
aplicacin financiera. -.u+l de los !allagos siguientes ser)a el '+S significativo2
Este es el !allago m+s significativo ya que afecta directamente la integridad de los datos de la aplicacin y es
evidencia de un proceso inadecuado de control de cambios y los derec!os de acceso incorrectos al entorno de
procesamiento. ( pesar de que las copias de respaldo slo una ve por semana es un !allago, ello no afecta la
integridad de los datos en el sistema. La documentacin incompleta de desarrollo de la aplicacin no afecta la
I
3n auditor de SI est+ evaluando una red corporativa en busca de una posible penetracin por
parte de empleados internos. -.u+l de los !allagos siguientes deber)a preocupar '+S al auditor de
SI2
El aprovec!amiento de un ID y contrase9a de usuario conocidos requiere m)nimos conocimientos tcnicos y
e#pone los recursos de la red a la e#plotacin
0maliciosa 1. La barrera tcnica es ba$a y el impacto puede ser muy elevado4 por lo tanto, el !ec!o de que muc!os
IDs de usuario tengan contrase9as idnticas representa la mayor amenaa. Los mdems e#ternos representan un
riesgo de seguridad, pero la e#plotacin o aprovec!amiento a*n depende del uso de una cuenta v+lida de
I
En un servidor cr)tico, un auditor de SI descubre un caballo de 6roya que fue producido por
un virus conocido que e#plota una vulnerabilidad de un sistema operativo. -.u+l de los siguientes
deber)a !acer %&I'E&? un auditor2
La prioridad es salvaguardar el sistema4 por lo tanto, el auditor de SI deber)a sugerir controles correctivos,
i.e., eliminar el cdigo. El auditor de SI no es responsable de investigar el virus. El auditor de SI puede
analiar la informacin del virus y determinar si ste !a afectado el sistema operativo, pero esta es una tarea
investigativa que tendr)a lugar despus de asegurarse que el cdigo malicioso !a sido eliminado. Instalar el
investigaciones2
evidencia. Los a!orros en tiempo y en costos, opcin ,, y la eficiencia y la eficacia, opcin ., son
preocupaciones leg)timas y diferencian a los paquetes buenos de los paquetes deficientes de soft8are forense.
La capacidad de investigar las violaciones de los derec!os de propiedad intelectual, opcin D, es un e$emplo de
I
3n auditor de SI !a importado datos de la base de datos del cliente. El paso siguiente para confirmar
si los datos importados est+n completos se lleva a cabo:
.omparar los totales de control de los datos importados con los totales de control de los datos originales es el
siguiente paso lgico, ya que esto confirma la integridad de los datos importados. "o es posible confirmar la
totalidad 0completeness1 clasificando los datos importados, porque los datos originales pueden no estar en el
orden de clasificacin. (dem+s la clasificacin no provee totales de control para verificar la totalidad
I
El vicepresidente de recursos !umanos !a solicitado una auditor)a para identificar los sobrepagos
de planilla7nmina para el a9o anterior.
planilla7nmina y, de ese modo, determinar si !ubo sobrepagos, y a quines fueron efectuados. Los datos
I
mtodo m+s proactivo ser)a identificar y evaluar las pr+cticas e#istentes de seguridad que la organiacin est+
siguiendo. 3n auditor de SI no debe preparar documentacin, y si lo !iciera, su independencia estar)a en
peligro. Dar por terminada la auditor)a puede impedir que se logren los ob$etivos de la auditor)a, es
I -.u+l de los siguientes es el '(F?& desaf)o al utiliar datos de prueba2
La eficacia de los datos de prueba est+ determinada por la e#tensin de la cobertura de todos los controles
clave a ser probados. Si los datos de prueba no cubren todas las condiciones v+lidas y no v+lidas, !ay un
riesgo de que la debilidad de control relevante pueda seguir sin ser detectada. Los cambios en el programa, por
el per)odo cubierto por la auditor)a, pueden !aberse efectuado para depurar o para funcionalidades adicionales.
I
En el curso de la realiacin de un an+lisis de riesgo, un auditor de SI !a identificado
amenaas e impactos potenciales. Inmediatamente despus, un auditor de SI debe:
I
Durante una revisin de los controles sobre el proceso de definir los niveles de servicios de
6I, un auditor de SI entrevistar)a '+S
probablemente al:
Entender los requerimientos del negocio es clave para definir los niveles de servicio. 'ientras que cada
una de las otras entidades enumeradas puede suministrar alguna definicin la me$or eleccin aqu) es el gerente
de unidad de negocio, debido a los amplios conocimientos que tiene esta persona sobre los requerimientos
relacionados con la organiacin.
I -.u+l de las siguientes opciones ser)a normalmente la evidencia '+S confiable para un auditor2 La evidencia obtenida de terceros independientes casi siempre es considerada la m+s confiable. Las respuestas ,,
. y D no serian consideradas confiables.
I -.u+l de los siguientes describe 'E>?& una prueba integrada 0integrated test facilityGmdas! 4I6@12
La respuesta ( describe me$or una prueba integrada 0integrated test facilityGmdas!4I6@1, que es un
proceso de auditor)a especialiado asistido por computadora que permite que auditor de SI pruebe una
aplicacin de manera continua. La respuesta , es un e$emplo de un arc!ivo de revisin de control de sistemas4
las respuestas . y D son e$emplos de instant+neas.
I
3n auditor de SI deber)a concentrarse en cuando los controles son e$ercidos como flu$os de datos a travs
del sistema de computadora. La opcin , es incorrecta ya que los controles correctivos pueden ser tambin
relevantes. La opcin . es incorrecta ya que los controles correctivos eliminan o reducen los efectos de los
errores o irregularidades y son considerados e#clusivamente como controles compensatorios. La opcin D es
I
3n auditor de SI descubre evidencia de fraude perpetrado con la identificacin del usuario de
un :erente. El gerente !ab)a escrito la contrase9a, asignada por el administrador del sistema, dentro
del ca$n7 la gaveta de su escritorio. El auditor de SI deber)a concluir que el:
Las debilidades de control de contrase9a significan que cualquiera de las otras tres opciones podr)a ser
cierta. La seguridad de contrase9a identificar)a normalmente al perpetrador. En este caso, no establece culpa
m+s all+ de la duda.
I -5u tcnica de auditor)a provee la 'E>?& evidencia de la segregacin de funciones en un
departamento de SI2
?bservando el personal de SI cuando realia sus tareas, el auditor de SI puede identificar si ellos est+n realiando
operaciones no compatibles y entrevistando el personal de SI el auditor puede obtener un panorama general de las
tareas realiadas. ,asado en las observaciones y entrevistas, el auditor puede evaluar la segregacin de funciones.
La gerencia no puede estar en conocimiento de las funciones detalladas de cada empleado en el departamento de SI,
I
.omo el nombre no es el mismo 0 debido a variaciones de los primeros nombres 1, un mtodo para
I -.u+l de las siguientes ser)a la 'E>?& poblacin de la cual tomar una muestra cuando un programa en
pruebas cambia2
La me$or fuente de la cual e#traer cualquier e$emplo o prueba de un sistema de informacin es el sistema
automatiado. Las bibliotecas de produccin representan e$ecutables que est+n aprobados y autoriados para
procesar los datos de la organiacin. Los listados de programa fuente serian intensivos en el tiempo. Las
solicitudes de cambio de programa son los documentos usados para iniciar el cambio. "o !ay ninguna garant)a de
I 3na prueba integrada 0integrated test facilityGmdas!4I6@1 se considera una !erramienta *til de
auditor)a porque:
I
%ara identificar el valor del inventario que se !a guardado 0no !an rotado1 por m+s de oc!o semanas,
lo '+S probable es que un auditor de
SI utilice:
El soft8are generaliado de auditor)a facilitara la revisin de todo el arc!ivo de inventario para buscar los rubros
que cumplan los criterios de seleccin. El soft8are generaliado de auditor)a provee acceso directo a los datos y
provee funciones de cmputo, estratificacin, etc. Los datos de prueba son usados para verificar programas, pero
no confirmaran nada sobre las transacciones en cuestin. El uso de mtodos de muestreo estad)stico no
I Los diagramas de flu$o de datos son usados por los (uditores de SI para:
Los diagramas de flu$o de datos se usan como ayudas para graficar o diagramar el flu$o y almacenamiento de
datos, con ellos se rastrean los datos desde su origen !asta su destino, resaltando las rutas y el almacenamiento de
los datos. Los diagramas de flu$o no ordenan los datos en ning*n orden $er+rquico. El flu$o de los datos no
coincidir+ necesariamente con ning*n orden $er+rquico o de generacin de datos.
I -.u+l de las siguientes formas de evidencia para el auditor se considerar)a la '+S confiable2
La evidencia obtenida de fuentes e#ternas es por lo general m+s confiable que la obtenida desde dentro de
la organiacin. Las cartas de confirmacin recibidas desde el e#terior, como por e$emplo las usadas para
verificar los balances de cuentas por cobrar, son por lo general altamente confiables. La prueba realiada por un
auditor no puede ser confiable si el auditor no tenia un buen entendimiento del +rea tcnica ba$o revisin.
I
Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en l)nea de documentacin
de red. ?tras funciones ser)an el acceso del usuario a diversos recursos de anfitriones 0!osts1 de red, la
autoriacin del usuario a tener acceso a recursos particulares y la red y las computadoras anfitrionas
0!osts1 a ser usadas sin acciones o comandos especiales de usuario. Las opciones ,, . y D son e$emplos de
I -.u+l de los siguientes pasos realiar)a %&I'E&? un auditor de SI normalmente en una revisin de
seguridad del centro de datos2
Durante la planeacin, el auditor de SI deber)a obtener una visin general de las funciones que est+n siendo
auditadas y evaluar los riesgos de auditor)a y de negocios. Las opciones ( y D son parte del proceso de traba$o
de campo de la auditor)a que ocurre posterior a esta planeacin y preparacin. La opcin . no es parte de una
revisin de seguridad.
I
'+S probable es que:
I -.u+l de los siguientes es una venta$a de una prueba integrada 0I6@12
3na prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prueba
simult+neamente con la entrada en vivo. Su venta$a es que las pruebas peridicas no requieren procesos
separados de prueba. Sin embargo, es necesaria una planeacin cuidadosa y los datos de prueba deben ser
aislados de los datos de produccin.
I -.u+l de las siguientes !erramientas de auditor)a es la '+S importante para un auditor de SI cuando
se requiere una pista de auditor)a2
3na !erramienta de instant+nea 0snaps!ot1 es m+s *til cuando se requiere una pista de auditor)a. I6@ puede usarse
para incorporar transacciones de prueba en una corrida normal de produccin. .IS es *til cuando las
transacciones que re*nen ciertos criterios necesitan ser e#aminadas. Los ganc!os de auditor)a son *tiles cuando
slo se necesita e#aminar transacciones o procesos escogidos.
I
3n auditor de SI eval*a los resultados de prueba de una modificacin a un sistema que trata con
cmputo de pagos. El auditor encuentra que el <A B de los c+lculos no coinciden con los totales
predeterminados. -.u+l de los siguientes es '+S probable que sea el siguiente paso en la auditor)a2
El auditor de SI deber)a luego e#aminar casos donde ocurrieron c+lculos incorrectos y confirmar los
resultados. Despus de que los c+lculos !ayan sido confirmados, m+s pruebas pueden ser llevadas a cabo y
revisadas. La preparacin de reportes, !allagos y recomendaciones no se !ar)a !asta que todos los resultados
fueran confirmados.
I 3n auditor de SI que realia una revisin de los controles de aplicacin evaluar)a:
3n control de revisin de aplicaciones implica la evaluacin de los controles automatiados de la aplicacin y
una evaluacin de cualesquiera e#posiciones resultantes de las debilidades del control. Las otras opciones
pueden ser ob$etivos de una auditor)a de aplicacin pero no forman parte de una auditor)a restringida a
una revisin de controles.
I .uando comunican los resultados de auditor)a, los auditores de SI deben recordar que en *ltima
instancia ellos son los responsables ante:
El auditor de SI es en *ltima instancia responsable ante la alta gerencia y ante el comit de auditor)a de la
$unta directiva. Incluso si el auditor de SI debe discutir los !allagos con el personal de gerencia de la entidad
auditada 0opcin ,1, ello se !ace *nicamente para obtener acuerdo sobre los !allagos y para desarrollar un
curso de accin correctiva. La opcin . es incorrecta porque el director de auditor)a de SI debe revisar el reporte
I
3na accin correctiva !a sido tomada por un auditado inmediatamente despus de la identificacin
de un !allago que deber)a ser reportado. El auditor debe:
Incluir el !allago en el reporte final es una pr+ctica de auditor)a generalmente aceptada. Si se emprende una
accin despus de que comen la auditor)a y antes de que terminara, el reporte de auditor)a debe identificar
el !allago y describir la accin correctiva tomada. 3n reporte de auditor)a debe refle$ar la situacin, tal
como sta e#ist)a en el comieno de la auditor)a. 6odas las acciones correctivas emprendidas por el auditado
I
Durante una revisin de implementacin de una aplicacin distribuida multiusuario, el auditor
de SI encuentra debilidades menores en tres +reasGmdas!4La disposicin inicial de par+metros
est+ instalada incorrectamente, se est+n usando contrase9as dbiles y algunos reportes vitales
no se est+n verificando debidamente. 'ientras se prepara el informe de auditor)a, el auditor de SI
I La funcin tradicional de un auditor de SI en una autoevaluacin de control 0control selfC
assessmentGmdas!4.S(1 debe ser la de
.uando se establecen los programas de .S(, los auditores de SI se convierten en profesionales de
control interno y en facilitadores de evaluaciones. Los auditores de SI son los facilitadores y el cliente
0gerencia y personal1 es el participante en el proceso de .S(. Durante un taller de .S(, en ve de que el
auditor de SI realice procedimientos detallados de auditor)a, deber)a conducir y orientar a los clientes para
I
3n auditor de SI revisando la efectividad de los controles de 6I, encontr un informe de
auditor)a anterior, sin documentos de traba$o.
-.mo debe proceder el auditor de SI2
En ausencia de documentos de traba$o de auditor)a, un auditor de SI debe volver a probar los controles para ver
su efectividad. Sin volver a probar el auditor no estar+ e$erciendo el debido cuidado profesional mientras
realia la auditor)a. Los documentos de traba$o pueden ayudar al auditor a eliminar la necesidad de volver a
probar4 sin embargo, el auditor debe estar preparado para volver a probar los controles.
I
.uando se est+ desarrollando una estrategia de auditor)a basada en el riesgo, un auditor de SI
debe llevar a cabo una evaluacin del riesgo para asegurar que:
%ara desarrollar una estrategia de auditor)a basada en el riesgo, es cr)tico que se entiendan los riesgos y
vulnerabilidades. Esto determinar+ las +reas a ser auditadas y la e#tensin de la cobertura. Entender si los
controles apropiados requeridos para mitigar los riesgos est+n instalados es un efecto resultante de una
auditor)a. Los riesgos de auditor)a son aspectos in!erentes de la auditor)a, est+n directamente
I En los casos en que !ay desacuerdo, durante una entrevista de salida, respecto al impacto de un
!allago, el auditor de SI debe:
Si los auditados no estuvieran de acuerdo con el impacto de un !allago, es importante que el auditor de SI
elabore y aclare los riesgos y e#posiciones, ya que es posible que los auditados no aprecien totalmente la
magnitud de la e#posicin. La meta debe ser e#plicar a los auditados o descubrir nueva informacin
de que el auditor de SI puede no !aber estado en conocimiento. .ualquier cosa que pareca
I El #ito de la autoevaluacin de control 0.S(1 depende en gran medida de:
El ob$etivo primario de un programa de .S( es repaldar la funcin de auditor)a interna pasando algunas de
las responsabilidades de monitoreo de control a los gerentes de l)nea del +rea funcional. El #ito de un
programa de autoevaluacin de control 0.S(1 depende del grado en el que los gerentes de l)nea asumen
la responsabilidad de los controles. Las opciones ,, . y D son caracter)sticas de un mtodo tradicional de
paso ser)a:
'onitorear el tiempo 0(1 y los programas de auditor)a 0D1, as) como tambin una capacitacin
adecuada 0,1 me$orar+ la productividad del personal de auditor)a de SI 0eficiencia y desempe9o1, pero
lo que entrega valor a la organiacin son los recursos y esfueros que se est+n dedicando y que est+n
concentrados en las +reas de mayor riesgo.
I En una auditor)a de una aplicacin de inventario, -qu mtodo proveer+ la 'E>?& evidencia de que
las rdenes de compra son v+lidas2
%ara determinar la valide de la orden de compra, probar los controles de acceso proveer+ la me$or evidencia.
Las opciones , y . est+n basadas en mtodos posteriores al !ec!o, y la opcin D no sirve al propsito
porque lo que est+ en la documentacin del sistema puede no ser lo mismo que lo que est+ ocurriendo.
I 3n auditor de SI debe usar muestreo estad)stico y no muestreo de $uicio 0no estad)stico1, cuando:
Dada una tasa de error esperado y un nivel de confiana, el muestreo estad)stico es un mtodo ob$etivo
de muestreo, que ayuda a un auditor de SI a determinar el tama9o de la muestra y a cuantificar la
probabilidad de error 0coeficiente de confiana1. La opcin , es incorrecta porque el riesgo de muestreo es el
riesgo de que una muestra no sea representativa de la poblacin. Este riesgo e#iste tanto para las muestras de
I -.u+l de las siguientes tcnicas en l)nea es m+s efectiva para la deteccin temprana de errores o
irregularidades2
La tcnica del ganc!o de auditor)a implica integrar cdigo en los sistemas de aplicacin para el e#amen de
transacciones seleccionadas. Esto ayuda al auditor de SI a actuar ante un error o una irregularidad se sale de
control. 3n modulo integrado de auditor)a implica integrar soft8are escrito especialmente en el sistema
anfitrin de aplicacin de la organiacin para que los sistemas de aplicacin sean monitoreados de
revisar:
El primer paso para evaluar los controles de monitoreo de la red debe ser la revisin de la adecuacin
de documentacin de red, espec)ficamente los diagramas de topolog)a. Si esta informacin no est+
actualiada, entonces los procesos de monitoreo y la capacidad para diagnosticar los problemas no ser+n
efectivos.
I (l llevar a cabo una auditor)a, un auditor de SI detecta la presencia de un virus. -.u+l debe ser el
siguiente paso del auditor de SI2
Lo primero que un auditor de SI debe !acer despus de detectar el virus es alertar sobre su presencia a la
organiacin, luego esperar la respuesta de sta. La opcin ( se debe emprender despus de la opcin .. Esto
permitir+ al auditor de SI e#aminar la funcionalidad y la efectividad del sistema de respuesta. El auditor de SI
no debe !acer cambios al sistema que est+ siendo auditado, y asegurar la eliminacin del virus es una
I Los riesgos asociados con recopilar evidencia electrnica es '+S probable que se reducan, en el
caso de un eCmail, por una:
.on una pol)tica de registros de eCmail bien arc!ivados, es posible el acceso a o la recuperacin de registros de
eCmails espec)ficos, sin revelar otros registros de eCmail confidenciales. Las pol)ticas de seguridad y7o
pol)ticas de auditor)a no resolver)an la eficiencia de recuperacin de registros, y destruir eCmails puede ser
un acto ilegal.
I -.u+l de los siguientes es el ob$etivo %&I'(&I? de un proceso de medicin de
desempe9o7performancia de 6I2
3n proceso de medicin del desempe9o7performancia de 6I puede usarse para optimiar el
desempe9o7performancia, medir y administrar productos
7servicios, asegurar la responsabilidad y tomar decisiones de presupuesto. 'inimiar errores es un aspecto
del desempe9o7performancia, pero no es el ob$etivo primario de la administracin del
I La venta$a de un mtodo de aba$o !acia arriba para el desarrollo de pol)ticas organiativas es que las
pol)ticas:
3n mtodo de aba$o !acia arriba comiena por definir los requerimientos y pol)ticas de nivel operativo, que se
derivan y se implementan como el resultado de evaluaciones de riesgo. Las pol)ticas a nivel de la empresa se
desarrollan posteriormente con base en una s)ntesis de las pol)ticas operativas e#istentes. Las opciones (, . y D
son venta$as de un mtodo de arriba !acia aba$o para desarrollar pol)ticas organiativas. Este mtodo asegura
I %ara soportar las metas de una organiacin, el departamento de SI debe tener:
%ara asegurar su contribucin a la realiacin de las metas generales de una organiacin, el departamento de SI
debe tener planes de largo y corto plao que sean consistentes con los planes m+s amplios de la organiacin
para alcanar sus metas. Las opciones ( y . son ob$etivos, y se necesitar)an planes para delinear cmo se
alcanar)a cada uno de los ob$etivos. La opcin D podr)a ser parte del plan general pero se requerir)a
I 3n comit de seguimiento de 6I revisar)a los sistemas de informacin %&I'(&I('E"6E para
determinar:
La funcin de un comit de seguimiento de 6I es asegurar que el departamento de SI est en armon)a con la
misin y los ob$etivos de la organiacin. %ara asegurar esto, el comit debe determinar si los procesos de
6I soportan los requerimientos del negocio. (naliar la funcionalidad adicional propuesta, y evaluar tanto
la estabilidad del soft8are como la comple$idad de la tecnolog)a, son aspectos demasiado estrec!os en
I Desde una perspectiva de control, el elemento clave en las descripciones de traba$os es que:
Desde una perspectiva de control, la descripcin de un traba$o debe establecer responsabilidad y deber
de reportar7imputabilidad 0accountability1. Esto ayudar+ a asegurar que se d a los usuarios acceso al sistema
en conformidad con las responsabilidades definidas de su traba$o. HbrIHbrILas otras opciones no est+n
directamente relacionadas con los controles. %roveer instrucciones sobre cmo !acer el traba$o y definir
I El efecto '+S probable de la falta de participacin de la alta gerencia en la planeacin estratgica de
6I es:
Debe e#istir un comit de seguimiento para asegurar que las estrategias de 6I soporten las metas de la
organiacin. La ausencia de un comit de tecnolog)a de informacin o un comit no compuesto de altos
gerentes ser)a una indicacin de falta de participacin de la alta gerencia. Esta condicin aumentar)a el riesgo
de que 6I no est a la altura de la estrategia de la organiacin.
I -.u+l de lo siguiente proveer)a 'E>?& garant)a de la integridad del nuevo personal2
3na investigacin de los antecedentes es el mtodo primario para asegurar la integridad de un
prospectivo miembro del personal. Las referencias son importantes y ser)a necesario verificarlas, pero no
son tan fiables como la investigacin de los antecedentes. La fiana est+ referenciando al cumplimiento de la
debida diligencia, no a la integridad, y las calificaciones7!abilidades indicadas en un rsum7curriculum
I -.u+l de los siguientes es el '(F?& riesgo de la definicin de una pol)tica inadecuada para
propiedad de datos y de sistemas2
Sin una pol)tica que defina quin tiene la responsabilidad de otorgar acceso a sistemas espec)ficos, !ay un
mayor riesgo de que uno pueda obtener 0se le pueda dar a uno1 acceso al sistema cuando de !ec!o esa
persona no deber)a tener autoriacin. La asignacin de autoridad para otorgar acceso a usuarios espec)ficos,
implica una me$or probabilidad de que los ob$etivos del negocio ser+n debidamente respaldados.
I El ob$etivo %&I'(&I? de una auditor)a de las pol)ticas de seguridad de 6I es asegurar que:
La orientacin del negocio debe ser el tema principal al implementar la seguridad. %or ello, una
auditor)a de las pol)ticas de seguridad de 6I debe primordialmente concentrarse en si las pol)ticas de
seguridad y control de 6I y relacionadas respaldan los ob$etivos del negocio y de 6I. &evisar si las
pol)ticas est+n disponibles para todos es un ob$etivo, pero la distribucin no asegura el cumplimiento. La
I Los ob$etivos de control de 6I son *tiles para los auditores de SI, ya que ellos proveen la base para
entender:
3n ob$etivo de control de 6I se define como la declaracin del resultado deseado o el propsito a ser alcanado
implementando procedimientos de control en una actividad particular de 6I. Ellos proveen los ob$etivos
verdaderos para implementar controles y pueden o no ser las me$ores pr+cticas. Las tcnicas son el medio de
alcanar un ob$etivo, y una pol)tica de seguridad es un subcon$unto de ob$etivos de control de 6I.
I (l revisar el plan de corto plao 0t+ctico1 de SI, el auditor de SI debe determinar si:
La integracin de SI y del personal de negocios en los proyectos es un aspecto operativo y debe ser considerado
mientras se revisa el plan de corto plao. 3n plan estratgico proveer)a un marco para el plan de corto plao de
SI. Las opciones ,, . y D son +reas cubiertas por un plan estratgico.
I -.u+l de los siguientes ser)a un control compensatorio para mitigar los riesgos resultantes de una
segregacin inadecuada de funciones2
Las reconciliaciones de control de lote son un e$emplo de controles compensatorios. ?tros e$emplos de
controles compensatorios son las bit+coras de transacciones, las pruebas de raonabilidad, las revisiones
independientes y las pistas de auditor)a tales como bit+coras de consola, bit+coras de biblioteca y la fec!a de
contabilidad del traba$o. Las verificaciones de secuencia y los d)gitos de verificacin son ediciones de
I -.u+l de los siguientes es una funcin de un comit de direccin de SI2
El comit de direccin de SI t)picamente sirve como una $unta general de revisin para los principales proyectos
de SI y no debe involucrarse en operaciones de rutina, por lo tanto, una de sus funciones es aprobar y
monitorear los principales proyectos, la situacin de los planes y presupuestos de SI. El control de cambio de
vendedor es un aspecto de outsourcing y debe ser monitoreado por la gerencia de SI. (segurar una separacin
I La velocidad de cambio de la tecnolog)a aumenta la importancia de:
El cambio requiere que se implementen y e$ecuten buenos procesos de administracin de cambios. Dacer
un outsourcing a la funcin de SI no est+ directamente relacionado con la velocidad de cambio
tecnolgico. El personal en un departamento t)pico de SI est+ altamente calificado y educado, por lo general
no siente que sus puestos de traba$o estn en riesgo y est+n preparados para cambiar de traba$o con frecuencia.
I
3na organiacin que adquiere otros negocios contin*a sus sistemas !eredados de EDI, y usa
tres proveedores separados de red de valor agregado 0E("1. "o e#iste ning*n acuerdo escrito de
E(". El auditor de SI debe recomendar a la gerencia que:
Los acuerdos escritos asistir)an a la gerencia a asegurar el cumplimiento de los requerimientos e#ternos.
'ientras que la gerencia debe obtener garant)a independiente de cumplimiento, ello no se puede lograr
!asta que e#ista un contrato. 3n aspecto de administrar servicios de terceros es proveer monitoreo, sin
embargo, esto no se puede lograr !asta que e#ista un contrato. (segurar que se disponga de acuerdos de
I
-.u+l de los siguientes reportes debe utiliar un auditor para verificar el cumplimiento de un
requerimiento de acuerdo de nivel de servicio
0SL(1 para tiempo productivo 2
La inactividad de SI como por e$emplo el tiempo improductivo, es tratada por los reportes de disponibilidad.
Estos reportes proveen los per)odos de tiempo durante los cuales la computadora estuvo disponible para ser
utiliada por los usuarios o por otros procesos. Los reportes de utiliacin documentan el uso de equipos de
computadora, y pueden ser usados por la gerencia para predecir cmo 7dnde 7cu+ndo se requieren
I La implementacin de controles eficientes en costos en un sistema automatiado es en *ltima
instancia responsabilidad de:
Es responsabilidad de la gerencia de unidad de negocio implementar controles eficientes en costos en un
sistema automatiado. Ellos son el me$or grupo en una organiacin que sabe qu activos de informacin
necesitan ser asegurados en trminos de disponibilidad, confidencialidad e integridad. Los
administradores de sistemas se ocupan de los servicios relacionados con los requerimientos del sistema del
I
3n auditor de SI encuentra que no todos los empleados tienen conocimiento de la pol)tica de
seguridad de informacin de la empresa. El auditor de SI debe concluir que:
6odos los empleados deben tener conocimiento de la pol)tica de seguridad de la empresa para prevenir la
revelacin no intencional de informacin sensitiva. La capacitacin es un control preventivo. Los programas
de concientiacin de la seguridad para los empleados puede prevenir la revelacin no intencional de
informacin sensitiva a personas a$enas.
I
-.u+l de las siguientes funciones debe ser realiada por los due9os de aplicacin para asegurar una
segregacin adecuada de tareas entre SI y los usuarios finales2
El due9o de aplicacin es responsable de autoriar el acceso a los datos. El desarrollo y programacin de
aplicaciones son funciones del departamento de SI. En forma similar, el an+lisis de sistemas debe ser
efectuado por personas calificadas de SI que tengan conocimientos de SI y de los requerimientos del
usuario. La administracin de datos es una funcin especialiada relacionada con los sistemas de administracin
I .uando un empleado es despedido de su servicio, la accin '+S importante es:
E#iste una probabilidad de que un empleado despedido pueda !acer mal uso de los derec!os de acceso,
por lo tanto, in!abilitar el acceso lgico de un empleado terminado es la accin m+s importante que se
debe emprender. 6odo el traba$o del empleado terminado necesita ser entregado a un empleado designado,
sin embargo, esto debe efectuarse despus de implementar la opcin D. Se debe !acer copia de respaldo
I -5u es lo que un auditor de sistemas considerar)a '+S relevante para la planificacin de corto plao
para el departamento de IS2
El departamento de IS debe considerar espec)ficamente la forma en que se asignan los recursos en el
corto plao. Las inversiones en 6I necesitan estar alineadas con las estrategias principales de la
administracin, en lugar de concentrarse en la tecnolog)a por la tecnolog)a en s) misma. Llevar a cabo estudios
de auto evaluacin de control y evaluar las necesidades de !ard8are no es tan cr)tico como asignar los recursos
I -.u+l de las metas siguientes esperar)a usted encontrar en el plan estratgico de una organiacin2
La planeacin estratgica pone en movimiento ob$etivos corporativos o departamentales. La planeacin
compre!ensiva ayuda a asegurar una organiacin efectiva y eficiente. La planeacin estratgica est+
orientada al tiempo y a los proyectos, pero tambin debe resolver y ayudar a determinar prioridades para
satisfacer las necesidades del negocio. Los planes de largo y corto plao deber)an ser consistentes con los planes
I El paso inicial para establecer un programa de seguridad de informacin es:
3na declaracin de pol)tica refle$a la intencin y el respaldo brindado por la gerencia e$ecutiva para una
seguridad apropiada y establece un punto de inicio para desarrollar el programa de seguridad.
I -.u+l de los siguientes se encontrar)a normalmente en los manuales e$ecucin de aplicaciones2
Los manuales de e$ecucin de aplicaciones deber)an incluir acciones que deben ser emprendidas por un
operador cuando ocurre un error. Los documentos fuente y el cdigo fuente son irrelevantes para el
operador. ( pesar de que los diagramas de flu$o de datos pueden ser *tiles, los diagramas detallados de
programa y las definiciones de arc!ivo no lo son.
I
De las funciones siguientes, -cu+l es la funcin '+S importante que debe realiar la administracin
de 6I cuando se !a dado un servicio para realiarse por outsourcing2
En un ambiente de outsourcing, la compa9)a depende del desempe9o del proveedor del servicio. %or esta ran,
es cr)tico que se monitoree el desempe9o del proveedor de outsourcing para asegurar que ste preste a la
compa9)a los servicios que se requieran. El pago de las facturas es una funcin financiera que se !ar)a por
requerimientos contractuales. %articipar en el dise9o de sistemas es un subproducto del monitoreo del
I -.u+l de las siguientes funciones ser)a una preocupacin si se efectuara $unto con administracin de
sistemas2
3n administrador de sistema realia diversas funciones usando el admin7ra) o un login equivalente. Este login
permite al administrador de sistema tener un acceso ilimitado a los recursos del sistema. El *nico control sobre
las actividades del administrador de sistema es la pista de auditor)a del sistema, es por eso que sta deber)a ser
revisada por otro que no sea el administrador de sistema. El mantenimiento de las reglas de acceso, las
I JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ
JJJJJJJJJJJJJJJJJJJJJJJJJJJJ
El establecimiento de per)odos contables es una de las actividades cr)ticas de la funcin de finanas. ?torgar
acceso a esta funcin al personal en el almacn y en el ingreso de rdenes podr)a ser a causa de una falta de
pol)ticas y procedimientos apropiados para la segregacin adecuada de funciones. Los per)odos contables no
deber)an ser cambiados a intervalos regulares, sino que se deber)an establecer de manera permanente. El
I -.u+l de los siguientes procedimientos detectar)a en forma '+S efectiva la carga de paquetes de
soft8are ilegal a una red2
La verificacin peridica de los discos duros ser)a el mtodo m+s efectivo de identificar los paquetes de
soft8are ilegal cargados a la red. El soft8are antivirus no identificar+ necesariamente el soft8are ilegal a
menos que el soft8are contenga un virus. Las estaciones de traba$o sin disco duro act*an como un control
preventivo y no son efectivas ya que los usuarios podr)a a*n as) cargar soft8are desde otras estaciones de
I .uando se !a dise9ado una pol)tica de seguridad de informacin, lo '+S importante es que la pol)tica
de seguridad de informacin sea:
%ara ser efectiva, una pol)tica de seguridad de informacin deber)a llegar a todos los miembros del
personal. (lmacenar la pol)tica de seguridad fuera del sitio o en un lugar seguro puede ser aconse$able pero
de poco valor si su contenido no es conocido por los empleados de la organiacin. La pol)tica de
seguridad de informacin deber)a ser escrita por los gerentes de unidad de negocios incluyendo SI, pero no
I La responsabilidad de rendir cuentas del mantenimiento de medidas de seguridad apropiadas sobre los
activos de informacin reside en:
La gerencia deber)a asegurar que todos los activos de informacin 0datos y sistemas1 tengan un
propietario designado que tome las decisiones sobre clasificacin y derec!os de acceso. Los propietarios de
sistema t)picamente delegan la custodia cotidiana al grupo de entrega 7operaciones de sistemas y las
responsabilidades de seguridad a un administrador de seguridad. Los propietarios, sin embargo, siguen estando
I JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ
Es imperativo que se establecan procedimientos formales escritos de aprobacin para establecer la
responsabilidad de rendir cuenta. Esto es verdad tanto para los niveles del gerente de SI como para los niveles
superiores de la gerencia. Las opciones (, . y D ser)a recomendaciones subsiguientes una ve que se !aya
establecido la autoridad.
I La responsabilidad y las l)neas de reporte no pueden siempre ser establecidas cuando se auditan
sistemas automatiados ya que:
( causa de la naturalea diversificada tanto de datos como de sistemas de aplicacin, puede ser dif)cil establecer
el verdadero propietario de los datos y de las aplicaciones.
I -.u+l de los siguientes considerar)a un auditor de SI que es '+S importante cuando se eval*a la
estrategia de una organiacin2 5ue:
La planeacin estratgica pone en movimiento ob$etivos corporativos o departamentales 6anto los planes
estratgicos a largo plao como a corto plao deber)an ser consistentes con los planes m+s amplios de la
organiacin y los ob$etivos del negocio para alcanar estas metas. La respuesta ( es incorrecta ya que la
gerencia de l)nea prepar los planes.
I 3n administrador de datos es responsable de:
3n administrador de datos es responsable de definir los elementos de datos, nombres de datos, y su
relacin. Las opciones (, . y D son funciones de un administrador de base de datos administrador de base de
datos 0D,(1.
I El desarrollo de una pol)tica de seguridad de SI es resposabilidad de:
( diferencia de otras pol)ticas corporativas, el marco de la pol)tica de seguridad de sistemas es responsabilidad
de la direccin general, la $unta directiva. El departamento de SI es responsable de la e$ecucin de la
pol)tica, no teniendo ninguna autoridad en el enmarcado de la pol)tica. El comit de seguridad tambin
funciona dentro de la amplia pol)tica de seguridad definida por la $unta directiva. El administrador de la
I
-.u+l de los siguientes programas es '+S probable que una pol)tica sana de seguridad de
informacin incluir)a, para mane$ar las intrusiones sospec!osas2
3na pol)tica sana de seguridad de SI es m+s probable que esboce un programa de respuesta para
mane$ar las intrusiones sospec!osas. Los programas de correccin, deteccin y monitoreo son todos
aspectos de seguridad de informacin, pero probablemente no ser+n incluidos en una declaracin de pol)tica de
seguridad de SI.
I
-.u+l de lo siguiente proveer)a un mecanismo por el cual la gerencia de SI puede determinar
cu+ndo, y si, las actividades de la empresa se !an desviado de los niveles planeados, o de los
esperados2
Los mtodos de an+lisis proveen un mecanismo, por el cual la gerencia de SI puede determinar cu+ndo y si las
actividades de la organiacin se !an desviado de los niveles planeados o de los esperados. Estos mtodos
incluyen los presupuestos de SI, la planeacin de la capacidad y del crecimiento, los est+ndares
7puntos de referencia de la industria, las pr+cticas de gerencia financiera y el logro de las metas. La gerencia de
I -.u+l de las siguientes situaciones aumentar)a la probabilidad de fraude2
Los programas de produccin se usan para procesar los datos reales y corrientes de la empresa. Es imperativo
asegurar que los controles de los cambios a los programas de produccin sean tan estrictos como para los
programas originales. La falta de control en esta +rea podr)a tener como resultado que los programas de
aplicacin sean modificados de manera que manipulen los datos. ( los programadores de aplicaciones se les
I JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ
JJJJJJJJJJJJJJJJJJJJJJJJJJJJJ
La primera y m+s importante responsabilidad del auditor de SI es advertir a la alta gerencia sobre el
riesgo que implica !acer que el administrador de seguridad realice una funcin de operaciones. Esta es una
violacin de la separacin de funciones. El auditor de SI no deber)a participar en el procesamiento.
I 'uc!as organiaciones requieren que todos los empleados toman una vacacin obligatoria de una
semana o m+s para:
Las vacaciones requeridas de una semana o m+s de duracin en la que alguien que no sea el empleado
regular realice la funcin del puesto de traba$o es a menudo obligatoria para las posiciones importantes.
Esto reduce la oportunidad de cometer actos indebidos o ilegales, y durante este tiempo puede ser
posible descubrir cualquier actividad fraudulenta que estuviera ocurriendo. Las opciones (, . y D
I El grupo de garant)a de calidad 0quality assurance1 es t)picamente responsable de:
El grupo de garant)a de calidad es t)picamente responsable de asegurar que los programas, cambios de
programas y documentacin se ad!ieran a las normas establecidas. La opcin ( es la responsabilidad del grupo
de control de datos, la opcin , es responsabilidad de operaciones de computadora, y la opcin D es
responsabilidad de responsabilidad de datos.
I -.u+l de las siguientes es la 'E>?& forma de mane$ar cintas magnticas obsoletas antes de disponer
de ellas2
La me$or forma de mane$ar las cintas magnticas obsoletas es desmagnetiarlas, porque esta accin impide
la divulgacin no autoriada o accidental de informacin, y tambin impide que las cintas obsoletas
vuelvan a ser utiliadas. Sobrescribir o borrar las cintas puede ocasionar errores magnticos
0considerar que son obsoletas1, in!ibiendo as) la integridad de datos. Inicialiar las etiquetas de cintas podr)a
I 3n comit de direccin de SI debe:
Es importante llevar las actas detalladas de los comits de direccin para documentar las decisiones y las
actividades del comit de direccin de SI, y la $unta directiva debe ser informada a su debido tiempo. La
opcin ( es incorrecta porque slo la gerencia principal o los niveles altos del personal deben ser
miembros de este comit debido a su misin estratgica. La opcin , no es una responsabilidad de este comit
I 3n administrador de base de datos es responsable de:
3n administrador de base de datos es responsable de crear y controlar la base de datos lgica y f)sica.
Definir la propiedad de datos recae en el $efe del departamento de usuario o en la alta gerencia si los datos
son comunes para la organiacin. La gerencia de SI y el administrador de datos son responsables de establecer
normas operativas para el diccionario de datos. Establecer reglas b+sicas para asegurar la integridad y la
I La participacin de la alta gerencia es '+S importante en el desarrollo de:
Los planes estratgicos proveen la base para asegurar que la empresa cumpla sus metas y ob$etivos. La
participacin de la alta gerencia es cr)tica para asegurar que el plan logra de manera adecuada las metas y
ob$etivos establecidos. Las pol)ticas de SI, procedimientos, normas y lineamientos est+n todos estructurados
para soportar el plan estratgico general.
I -.u+l de los siguientes controles de ingreso de datos provee la '(F?& garant)a de que los datos
ingresados no contienen errores2
La verificacin de llave o verificacin uno a uno rendir+ el grado m+s alto de confiana de que los datos
ingresados est+n libres de error. Sin embargo, esto podr)a ser impr+ctico para grandes cantidades de datos. La
segregacin de funciones de ingreso de datos proveniente de la verificacin de ingreso de datos es un control
adicional de ingreso de datos. 'antener una bit+cora 7registro detallando el tiempo, fec!a, iniciales del empleado
I 3n administrador de L(" estar)a normalmente restringido de:
3n administrador de L(" no deber)a tener responsabilidades de programacin pero puede tener
responsabilidades de usuario final. El administrador de L(" puede reportarse al director de la I%@ o, en una
operacin descentraliada, al gerente de usuario final. En las organiaciones peque9as, el administrador de
L(" puede tambin ser responsable de la administracin de seguridad del L(".
I
3n auditor de SI est+ revisando la funcin de administracin de base de datos para determinar si
se !a !ec!o la disposicin adecuada para controlar los datos. El auditor de SI deber)a determinar que:
El auditor de SI deber)a determinar que las responsabilidades de la funcin de administracin de base de
datos no slo est+n bien definidas sino tambin garantian que el administrador de base de datos 0D,(1 se
reporte directamente al gerente de SI o al e$ecutivo para proveer independencia, autoridad y
responsabilidad. El D,( no debe reportarse ni a la gerencia de procesamiento de operaciones de datos ni a la
I JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ
JJJJJJJJJJJJJJJJJJJJJJJJJJJ
La independencia deber)a ser constantemente evaluada por el auditor y la gerencia. Esta evaluacin deber)a
considerar factores tales como las relaciones personales, los intereses financieros y previas asignaciones y
responsabilidades del puesto de traba$o. El !ec!o que el empleado !aya traba$ado en SI por muc!os a9os
no puede por s) mismo asegurar la credibilidad. Las necesidades del departamento de auditor)a deber)an ser
I
-Es apropiado que un auditor de SI de una compa9)a que est+ considerando !acer outsourcing de su
procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada
proveedor2
La responsabilidad primaria del auditor de SI es asegurar que los activos de la compa9)a estn siendo
salvaguardados. Esto es verdad incluso si los activos no residen en las premisas inmediatas. Las oficinas
prestigiosas de servicio tendr+n un plan de continuidad de negocio bien dise9ado y probado.
I 3na probable venta$a para una organiacin que !a efectuado outsourcing a su procesamiento de
servicios de datos es que:
?utsourcing es un acuerdo contractual por el cual la organiacin entrega el control sobre una parte o sobre la
totalidad del procesamiento de informacin a una parte e#terna. Esto se !ace con frecuencia para adquirir
recursos o e#periencia adicionales que no se obtiene desde el interior de la organiacin.
I 3n auditor de SI deber)a preocuparse cuando un analista de telecomunicacin:
Las responsabilidades de un analista de telecomunicaciones incluyen requerimientos de carga de red en
trminos de vol*menes corrientes y futuros de transacciones 0opcin ,1, evaluar el impacto de la carga de red
o los tiempos de respuesta de las terminales y las velocidades de transferencia de datos de red
0opcin .1 y recomendar procedimientos y me$oras de balanceo de red 0opcin D1. 'onitorear el desempe9o
I -.u+l de los siguientes es un control sobre las actividades de administracin de base de datos2
%ara asegurar la aprobacin de la gerencia de las actividades de administracin de base de datos y para e$ercer
control sobre la utiliacin de !erramientas de base de datos, deber)a !aber una revisin de supervisin de los
registros de acceso. Las actividades de administracin de base de datos incluyen entre otras, puntos de
verificacin de base de datos, tcnicas de compresin de base de datos, y procedimientos de respaldo y
I 3n auditor de SI que revisa un contrato de outsourcing de las instalaciones de 6I esperar)a que ste
defina:
De las opciones, el !ard8are y el control de acceso de soft8are generalmente es irrelevante mientras la
funcionalidad, disponibilidad y seguridad puedan ser afectadas, lo cual ser)a una obligacin contractual
espec)fica. De manera similar, la metodolog)a de desarrollo no deber)a de real preocupacin. El contrato
debe, sin embargo, especificar quin es el due9o de la propiedad intelectual 0i.e., la informacin que est+
I
-.u+l de las siguientes funciones representar)a un riesgo si se combinara con la de un analista
de sistemas, debido a la falta de controles compensatorios2
3n analista de sistemas no debe realiar tareas de garant)a de calidad 05(, siglas de los trminos en
ingls1 ya que podr)a obstaculiar la independencia, debido a que el analista de sistemas es parte del equipo
que desarrolla 7dise9a el soft8are. 3n analista de sistemas puede realiar las otras funciones. El me$or e$emplo
es un Gquot4programador ciudadanoGquot 4. 3n programador ciudadano 0nombre relacionado con
I 3n auditor de SI que revisa el plan estratgico de 6I de una organiacin deber)a %&I'E&? revisar:
El plan estratgico de 6I e#iste para respaldar el plan de negocios de la organiacin. %ara evaluar el plan
estratgico de 6I, el auditor de SI necesitar)a primero familiariarse con el plan de negocios.
I
En una organiacin peque9a, un empleado realia operaciones de computadora y, cuando la
situacin lo e#ige, programa modificaciones.
-.u+l de lo siguiente deber)a recomendar el auditor de SI2
'ientras que se preferir)a que la estricta separacin de funciones se cumpliera y que se reclutara personal
adicional, como se sugiere en la ?pcin ,, esta pr+ctica no es siempre posible en las organiaciones
peque9as. El auditor de SI debe buscar procesos alternativos recomendados. De las opciones, . es la *nica
posible que tiene un impacto. El auditor de SI deber)a recomendar procesos que detecten los cambios a la
I -.u+l de los siguientes ser)a incluido en la pol)tica de seguridad de SI de una organiacin2
La pol)tica de seguridad provee la estructura amplia de la seguridad, como !a sido dispuesta y aprobada por
la alta gerencia. Incluye una definicin de las personas autoriadas para otorgar acceso y la base para otorgarlo.
Las opciones (, , y . est+n m+s detalladas que lo que deber)a incluirse en una pol)tica.
I
3na pol)tica e#!austiva y efectiva de correo electrnico deber)a resolver los problemas de
estructura de correo electrnico, e$ecucin de pol)ticas, monitoreo y:
(dem+s de ser una buena pr+ctica, las leyes y regulaciones pueden requerir que una organiacin mantenga
informacin que tenga un impacto en los estados financieros. La prevalencia de demandas en las que la
comunicacin de correo electrnico es mantenida en el mismo sentido que el formulario oficial de cl+sico
Gquot4documentoGquot4 !ace de la retencin de correspondencia electrnica una necesidad. 6odo el correo
I
3na organiacin !a !ec!o un outsourcing de su desarrollo de soft8are. -.u+l de los siguientes es
responsabilidad de la gerencia de 6I de la organiacin2
(dministrar7:estionar activamente el cumplimiento de los trminos del contrato para los servicios
e#ternaliados 0outsourced1 es responsabilidad de la gerencia de 6I. El pago de facturas es una
responsabilidad de finanas. La negociacin del acuerdo contractual ya !abr)a ocurrido y por lo general es
una responsabilidad compartida del departamento legal y de otros departamentos, como por e$emplo 6I.
I En una organiacin donde se !a definido una l)nea base 0baseline1 de seguridad de 6I el auditor de
SI debe %&I'E&? asegurar:
El auditor debe primero evaluar la definicin del nivel m)nimo de l)nea base para asegurar la
idoneidad de los controles. La documentacin, la implementacin y el cumplimiento son otros pasos
adicionales.
I
Las operaciones de 6I para una gran organiacin !an sido e#ternaliadas 0outsourced1. -3n
auditor de SI que revisa la operacin e#ternaliada debe estar '+S preocupado por cu+l de los
!allagos siguientes2
La falta de una provisin de recuperacin de desastre presenta un riesgo importante de negocio.
Incorporar una disposicin de este tipo en el contrato proporcionar+ a la organiacin que realia el
Gquot4outsourcingGquot4 una influencia sobre el proveedor de servicio. Las opciones ,, . y D son problemas
que deben ser resueltos por el proveedor de servicio, pero no son tan importantes como los
I JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ
JJJJJJJJJJJJJJJJJJJJJJJJJJJJJ
'over los servidores puede ocasionar una interrupcin del negocio y debe posponerse !asta que la
recuperacin de desastre sea incluida en el contrato de outsourcing. Las opciones (, . y D deben considerarse
durante el desarrollo de las provisiones viables de recuperacin de desastre y despus que el traslado de
servidores sea pospuesto.
I De los siguientes, -qu es lo '+S importante cuando se eval*an los servicios prestados por un
proveedor de servicios de Internet 0IS%12
3n contrato de nivel de servicio provee la base para una evaluacin adecuada del grado en el que el
proveedor est+ satisfaciendo el nivel de servicio acordado. Las opciones (, . y D no ser)an la base para una
evaluacin independiente del servicio.
I La implementacin de controles de acceso requiere %&I'E&?:
El primer paso para implementar un control de accesos es un inventario de los recursos de SI, que es la
base para la clasificacin. El etiquetado de los recursos no puede !acerse sin primero determinar las
clasificaciones de los recursos. La lista de control de accesos 0(.L1 no se !ar)a sin una clasificacin
co!erente de los recursos.
I
3n auditor de SI que realia una revisin de los controles generales de las pr+cticas de gerencia
de SI relativas al personal deber)a prestar particular atencin a:
.uando se realia una revisin de los controles generales es importante que un auditor de SI preste atencin al
tema de la segregacin de funciones, que est+ afectada por pr+cticas de vacaciones 7feriados. Las pol)ticas y el
cumplimiento de vacaciones obligatorias puede variar dependiendo del pa)s y de la industria. Las
clasificaciones del personal y las pol)ticas de compensaciones $ustas puede ser una problema moral, no
I
-3n auditor de SI deber)a esperar que cu+l de los siguientes elementos sean incluidos en la
solicitud de propuesta 0&@%1 cuando SI est+ adquiriendo servicios de un proveedor de servicios
independiente 0IS%12
El auditor de SI deber)a buscar una verificacin independiente que el IS% pueda realiar las tareas que
est+n siendo contratadas. Las referencias de otros clientes proveer)an una revisin y verificacin
independiente, e#terna, de procedimientos y procesos que sigue el IS% Gndas!4 aspectos que ser)an de
preocupacin para el auditor de SI. Eerificar las referencias es un medio de obtener una verificacin
I
.uando se revisan las estrategias de SI, el auditor de SI puede determinar 'E>?& si la estrategia de SI
soporta los ob$etivos de negocio de las organiaciones determinando si SI:
Determinar si el plan de SI es consistente con la estrategia de la gerencia relaciona la planificacin de SI76I con
los planes del negocio. Las opciones (, . y D
son mtodos efectivos para determinar si los planes de SI est+n en armon)a con los ob$etivos del negocio y con las
estrategias de la organiacin.
I %ara asegurar que una organiacin est+ cumpliendo con los requerimientos de privacidad, el auditor
de SI deber)a %&I'E&? revisar:
%ara asegurar que la organiacin est cumpliendo con los aspectos de privacidad, un auditor de SI
deber)a tratar primero los requisitos legales y regulatorios. %ara cumplir con los requisitos legales y
regulatorios, las organiaciones necesitan adoptar la infraestructura apropiada. Despus de entender los
requisitos legales y regulatorios, el auditor de SI deber)a evaluar las pol)ticas, est+ndares y procedimientos
II
3na compa9)a est+ implementando un protocolo din+mico de configuracin de anfitrin
0Dynamic Dost .onfiguration %rotocolCDD.%1. Dado que e#isten las siguientes condiciones, -cu+l
representa la '(F?& preocupacin2
Dado el acceso f)sico a un puerto, cualquiera puede conectarse a la red interna. Las otras opciones no
presentan la e#posicin que presenta el acceso a un puerto. DD.% provee conveniencia 0una venta$a1 para
los usuarios de laptop. .ompartir las direcciones de I% y la e#istencia de un fire8all pueden ser medidas
de seguridad.
II JJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJJ
En un gate8ay K(%, los mensa$es encriptados7cifrados provenientes de los clientes deben ser
desencriptados7descifrados para transmitir a la Internet y viceversa. %or lo tanto, si el gate8ay es afectado,
todos los mensa$es estar)an e#puestos. SSL protege los mensa$es de sniffing en la Internet, limitando la
revelacin de la informacin del cliente. K6LS provee autenticacin, privacidad e integridad e impide
II
%ara ma#imiar el desempe9o 0performance1 de una base de datos grande en un ambiente paralelo de
procesamiento, -cu+l de los siguientes se usa para separar los )ndices2
3na parte esencial de dise9ar una base de datos para procesamiento paralelo es el esquema de divisin
0partitioning1. .omo las grandes bases de datos est+n inde#adas, los indices independientes deben tambin
estar divididos para ma#imiar el desempe9o7performancia. Das!ing es un mtodo usado para dividir )ndices.
ste asocia los datos con los discos, basado en una clave !as!. La divisin7particin de discos crea
II -.u+l de los siguientes impedir+ tuplas colgantes 0dangling tuples1 en una base de datos2
La integridad de referencia asegura que una llave7clave e#tra9a en una tabla sea igual a cero o al valor de una
primaria en la otra tabla. %or cada tupla en una tabla que tenga una clave referenciada 7e#tra9a, debe !aber una
tupla correspondiente en otra tabla, es decir, por la e#istencia de todas las claves e#tra9as en las tablas
originales. Si esta condicin no fuera satisfec!a, entonces el resultado ser)a una tupla suspendida. La
II -.u+l de los siguientes reduce 'E>?& la capacidad de un dispositivo de capturar los paquetes que
est+n destinados a otro dispositivo2
Los s8itc!es est+n en el nivel m+s ba$o de seguridad de red y transmiten un paquete al dispositivo al que
est+ dirigido. Esto reduce la capacidad de un dispositivo de capturar los paquetes que est+n destinados a
otro dispositivo. Los filtros permiten cierto aislamiento b+sico de tr+fico de red basado en las direcciones
de destino. Los routers permiten que a los paquetes se les permita o se les niegue acceso basado en las
II El ob$etivo de control de concurrencia en un sistema de base de datos es:
Los controles de concurrencia impiden problemas de integridad de datos, que pueden surgir cuando dos
procesos de actualiacin acceden al mismo elemento de dato al mismo tiempo. Los controles de acceso
restringen la actualiacin de la base de datos a los usuarios autoriados4 y a los controles, por e$emplo, las
contrase9as impiden la revelacin inadvertida o no autoriada de datos de la base de datos. Los controles
II En un sistema de administracin de base de datos 0D,'S1 la ubicacin de los datos y el mtodo de
tener acceso a los datos es provista por:
3n sistema de directorio describe la ubicacin de los datos y el mtodo de acceso. 3n diccionario de datos
contiene un )ndice y la descripcin de todos los elementos almacenados en la base de datos. Los metadatos
0Ldatos sobre datosL1 son los elementos de datos requeridos para definir un almacn de datos a nivel de toda
la empresa. El procesador de lengua$e de definicin de datos permite al administrador de base de datos 0D,(1
II
En un sistema clienteCservidor, -cu+l de las siguientes tcnicas de control se usa para inspeccionar
la actividad de los usuarios conocidos o desconocidos2
Los dispositivos de monitoreo de red pueden usarse para inspeccionar actividades de usuarios conocidos o
desconocidos y pueden identificar direcciones de clientes, que pueden asistir en encontrar evidencia de acceso
no autoriado. Esto sirve como un control de deteccin. Las estaciones de traba$o sin disco impiden que
el soft8are de control de acceso sea evadido. Las tcnicas de encripcin7cifra de datos pueden ayudar a
II 3n beneficio de .alidad de Servicio 05oS1 es que:
La principal funcin de 5oS es optimiar el desempe9o7performancia de la red asignando prioridad a las
aplicaciones del negocio y a los usuarios finales a travs de la asignacin de partes dedicadas del anc!o de
banda a tr+fico espec)fico. La opcin ( no es cierta porque la comunicacin misma no me$orar+, sino que
la velocidad de intercambio de datos podr)a ser m+s alta. La disponibilidad no me$orar+. Las
II .uando se revisan los par+metros del sistema, la %&I".I%(L preocupacin de un auditor de SI,
deber)a ser que:
La principal preocupacin es encontrar el balance entre seguridad y desempe9o7performancia. &egistrar los
cambios en una pista de auditor)a y revisarla peridicamente es un control de deteccin4 sin embargo, si no
se establecen los par+metros conforme a reglas del negocio, es posible que el monitoreo de cambios no sea
un control efectivo. &evisar los cambios para asegurar que estn respaldados por documentos apropiados,
II
El '(F?& riesgo cuando los usuarios finales tienen acceso a una base de datos al nivel de su sistema,
en lugar de a travs de la aplicacin, es que los usuarios pueden:
6ener acceso a la base de datos podr)a proveer acceso a las utiler)as de la base de datos, lo cual puede actualiar
la base de datos sin una pista de auditor)a y sin usar la aplicacin. El utiliar S5L, slo provee acceso a lectura
de la informacin M"ota: El primitivo S5L era solamente un lengua$e de consulta , a!oraC aunque !a conservado
el nombre 0query1Cpermite modificar la base de datos 0DELE6E, I"SE&6, 3%D(6E1. La opcin , ata9e a esa
La funcin de resecuenciacin de los paquetes 0segmentos1 recibidos en desorden es realiada por la capa de
transporte. "i la red, ni las capas de sesin o aplicacin se encargan de la resecuenciacin.
II Eerificar si !ay l)neas base 0baselines1 de soft8are autoriado es una actividad realiada dentro de cu+l
de las siguientes 2
La administracin de la configuracin da cuenta de todos los componentes de 6I, incluyendo soft8are.
La administracin de proyectos se encarga del cronograma, administracin de recursos y rastreo del
progreso del desarrollo del soft8are. Las administracin de problemas registra y monitorea los incidentes.
La administracin de riesgos implica identificacin de riesgos, an+lisis de impacto, un plan de accin, etc.
II %ara determinar qu usuarios pueden tener acceso al estado de supervisin privilegiado, -cu+l de los
siguientes debe revisar un auditor de SI2
La revisin de los arc!ivos de configuracin del sistema para las opciones de control usadas mostrar)an
cu+les usuarios tienen acceso al estado de supervisin privilegiado. 6anto los arc!ivos de registro de
acceso a sistemas como los registros de violaciones de acceso son detectivos por naturalea. El soft8are de
control de acceso es corrido ba$o el sistema operativo.
II
Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en l)nea de
documentacin de red. ?tras funciones ser)an el acceso del usuario a diversos recursos de anfitriones
0!osts1 de red, la autoriacin del usuario a tener acceso a recursos particulares y la red y las
computadoras anfitrionas 0!osts1 a ser usadas sin acciones o comandos especiales de usuario. Las opciones ,,
II -.u+l de los siguientes es un control sobre las fallas7errores de comunicacin de componentes2
La redundancia, creando alguna forma de duplicacin en los componentes de red, como por e$emplo un enlace,
un ruteador 0router1, un s8itc! para prevenir prdidas, demoras o duplicacin de datos, es un control sobre
la falla o error de comunicacin del componente. ?tros controles relacionados son verificaciones de loop
7eco para detectar errores de l)nea, verificaciones de paridad, cdigos de correccin de errores y
II
3n cable instalado de Et!ernet corrido en una red de pares retorcidos no protegidos 036%1 tiene m+s
de ;AA metros de longitud. -.u+l de los siguientes podr)a ser causado por la longitud del cable2
La atenuacin es el debilitamiento de las se9ales durante la transmisin. .uando la se9al se torna dbil,
comiena a leer un ; por un A, y el usuario puede e#perimentar problemas de comunicacin. 36% enfrenta
atenuacin alrededor de los ;AA metros. La interferencia electromagntica 0E'I1 es causada por ondas
electromagnticas e#ternas que afectan las se9ales deseadas, lo cual no es el caso aqu). La interferencia
II
El mtodo de direccionamiento del tr+fico a travs de instalaciones de cable partido 0split
cable1 o instalaciones de cable duplicado se denomina:
El direccionamiento diverso es el mtodo de direccionamiento del tr+fico a travs de instalaciones de cable
partido o de instalaciones de cable duplicado, que puede lograrse con cubiertas de cables
diferentes7duplicadas. El direccionamiento alternativo es el mtodo de direccionamiento de la informacin
por un medio alternativo como cable de cobre o fibra ptica. La redundancia implica proveer capacidad
II 3n comando Gquot4%ingGquot4 se usa para medir:
La latencia, que se mide usando un comando Gquot4%ingGquot4, representa la demora que tendr+ un
mensa$e 7paquete para via$ar desde el origen !asta el destino. 3na disminucin en la amplitud a medida que
una se9al se propaga a travs de un medio de transmisin se denomina atenuacin. El rendimiento, que es la
cantidad de traba$o por unidad de tiempo, se mide en bytes por segundo. La distorsin por demora representa la
II -.u+l de los siguientes soportar)a 'E>?& la disponibilidad NO7P2
El mirroring de elementos cr)ticos es una !erramienta que facilita la recuperacin inmediata. La copia de
respaldo diaria implica que es raonable que el restablecimiento ocurra dentro de un n*mero de !oras
pero no inmediatamente. El almacenamiento fuera del sitio y la prueba peridica de sistemas no soportan
por s) mismas la disponibilidad continua.
II
-El an+lisis de cu+l de los siguientes es '+S probable que !abilite al auditor de SI para determinar si
un programa no aprobado intent tener acceso a datos sensitivos2
Las bit+coras de sistema son reportes automatiados que identifican la mayor)a de las actividades realiadas en
la computadora. Se !an desarrollado muc!os programas que analian la bit+cora de sistema para reportar
sobre puntos definidos espec)ficamente. Los reportes de terminacin anormal identifican los traba$os de
aplicacin que fueron terminados antes de su terminacin e#itosa. Los reportes de problema de operador
II .uando se analia la portabilidad de una aplicacin de base de datos, el auditor de SI debe verificar
que:
El uso de un lengua$e de consultas estructuradas 0S5L1 es un elemento clave para la portabilidad de la
base de datos. La importacin y e#portacin de informacin con otros sistemas es un ob$etivo de revisin de
interfaces de base de datos. El uso de un )ndice es un ob$etivo de una revisin de acceso a base de datos, y el
!ec!o de que todas las entidades tengan un nombre significativo y llaves primaria y e#tran$era identificadas es
II
En un sistema de procesamiento de transacciones en l)nea, la integridad de datos es mantenida
asegurando que una transaccin sea o bien concluida en su totalidad o no lo sea en absoluto. Este
principio de integridad de datos se conoce como:
El principio de atomicidad requiere que una transaccin sea completada en su totalidad o no lo sea en absoluto. Si
ocurriera un error o interrupcin, todos los cambios efectuados !asta ese punto son retirados. La consistencia
asegura que todas las condiciones de integridad en la base de datos sean mantenidas con cada transaccin. El
aislamiento asegura que cada transaccin sea aislada de otras transacciones , y de a!) que, cada transaccin slo
II
Despus de instalar una red, una organiacin instal una !erramienta de estudio de la
vulnerabilidad o escaneador de seguridad para identificar posibles debilidades. -.u+l es el riesgo
'+S serio asociado con dic!as !erramientas2
&eporte negativo falso sobre las debilidades significa que las debilidades de control en la red no est+n
identificadas y de a!) que no puedan ser resueltas, de$ando la red vulnerable a ataques. %ositivo falso es
una en la que los controles est+n establecidos, pero est+n evaluados como dbiles, lo cual debe demandar
una nueva verificacin de los controles. &eporte con menos detalles y funciones de reporteo diferencial
II En un entorno de L(", -.u+l de los siguientes minimia el riesgo de corrupcin de datos durante la
transmisin2
3sar conductos separados para cables de datos y cables elctricos, minimia el riesgo de corrupcin de datos
debido a un campo magntico inducido creado por medio de corriente elctrica. La encripcin de datos
minimia el riesgo de fuga de datos en caso de intercepcin de l)neas telefnicas, sin embargo, no puede
prevenir la corrupcin. 3na suma de verificacin ayudar+ a detectar la corrupcin de datos durante la
II
-.u+l de los siguientes considerar)a un auditor de SI que es '+S *til cuando se eval*a la
efectividad y adecuacin de un programa de mantenimiento preventivo de computadora2
3n registro de tiempo improductivo del sistema provee informacin sobre la efectividad y adecuacin de
los programas de mantenimiento preventivo de computadora.
II -.u+l de los siguientes es el medio '+S efectivo de determinar qu controles est+n funcionando
correctamente en un sistema operativo2
Los par+metros de generacin del sistema determinan cmo funciona un sistema, la configuracin f)sica y su
interaccin con la carga de traba$o.
II -El control de congestin se mane$a 'E>?& por cu+l capa de ?SI2
La capa de transporte es responsable de la entrega de datos confiables. Esta capa implementa un
mecanismo de control de flu$os que puede detectar congestin, reducir las velocidades de transmisin de
datos y aumentar las velocidades de transmisin cuando la red parece que ya no est+ congestionada
0e.g., controles de flu$o de 6.%1. La capa de red no es correcta porque el control de congestin ocurre basado en
II
Los programas de utiler)a que re*nen mdulos de soft8are que se necesitan para e$ecutar una
versin de programa de aplicacin de instrucciones de m+quina son:
Los programas de utiler)a que re*nen mdulos de soft8are que se necesitan para e$ecutar una versin de
programa de aplicacin de instruccin de m+quina son los editores de enlace y los cargadores.
II El soft8are de monitoreo de capacidad se usa para asegurar:
El soft8are de monitoreo de capacidad muestra, por lo general en forma de luces o de gr+ficas ro$as,
+mbar y verdes, el uso real de los sistemas en l)nea frente a su capacidad m+#ima. El ob$etivo es permitir al
personal de soporte de soft8are que tome medidas si el uso comenara a sobrepasar el porcenta$e de la
capacidad disponible para asegurar que se mantenga la operacin eficiente, en trminos de tiempos de respuesta.
II 3na limitacin de integridad de referencia est+ constituida por:
Las limitaciones de integridad referencial aseguran que un cambio en una clave primaria de una tabla sea
actualiada autom+ticamente en una llave e#tran$era coincidente de otras tablas. Esto se !ace usando disparadores.
II
-.u+l de las siguientes e#posiciones asociadas con el spooling de reportes sensitivos para impresin
fuera de l)nea considerar)a un auditor de
SI que es el '+S serio2
( menos que est controlado, el spooling para impresin fuera de l)nea permite que se impriman copias
adicionales. Es improbable que los arc!ivos de impresin estn disponibles para ser le)dos en l)nea por los
operadores. Los datos en arc!ivos de spool no son m+s f+ciles de enmendar sin autoridad que cualquier otro
arc!ivo. %or lo general !ay una amenaa menor de acceso no autoriado a los reportes sensitivos sen caso de una
II -.u+l de los siguientes es cr)tico para la seleccin y adquisicin del soft8are de sistema operativo
correcto2
La compra de soft8are de sistema operativo depende del !ec!o de que el soft8are sea compatible con el
!ard8are e#istente. Las opciones ( y D, a pesar de ser importantes, no son tan importantes como la opcin .. Los
usuarios no aprueban normalmente la adquisicin de soft8are de sistema operativo.
II -.u+l de los siguientes medios de l)nea proveer)a la 'E>?& seguridad para una red de
telecomunicacin2
Las l)neas dedicadas son apartadas para un usuario en particular o para una organiacin. .omo no se
comparten l)neas o puntos intermedios de entrada, el riesgo de intercepcin o interrupcin de los mensa$es de
telecomunicacin es m+s ba$o.
II -.u+l de los siguientes tipos de fire8all proteger)a 'E>?& una red contra un ataque de Internet2
3n @ire8all filtrado de red subordinada proveer)a la me$or proteccin. El router de filtrado puede ser un
router comercial o un nodo con capacidades de direccionamiento que puede filtrar paquetes, con la
capacidad para permitir o evitar el tr+fico entre redes o entre nodos bas+ndose en direcciones, puertos,
protocolos, interfaces, etc. Las gate8ays de nivel de aplicacin son intermediarias entre dos entidades que
EDI es la me$or respuesta. Implementado debidamente 0por e$emplo, contratos con normas para transacciones
entre los socios comerciales, controles sobre los mecanismos de seguridad de la red en con$unto con los
controles de aplicacin1 EDI se adec*a me$or para identificar y dar seguimiento a los errores m+s r+pidamente
dadas las reducidas oportunidades de revisin y de autoriacin.
II -.u+l de los siguientes componentes es ampliamente aceptado como uno de los componentes cr)ticos
en la administracin de redes2
La administracin de configuraciones es ampliamente aceptada como uno de los componentes clave de
cualquier red dado que establece cmo funcionar+ la red tanto interna como e#ternamente. 6ambin se ocupa
de la administracin de la configuracin y del monitoreo del desempe9o. Los mapeos topolgicos proveen
una descripcin de los componentes de la red y su conectividad. Esto es cr)tico para administrar y
II (plicar una fec!a de retencin en un arc!ivo asegurar+ que:
3na fec!a de retencin asegurar+ que un arc!ivo no pueda ser sobrescrito antes de que esa fec!a !aya pasado.
La fec!a de retencin no afectar+ la capacidad de leer el arc!ivo. Las copias de respaldo se esperar)a que tengan
una fec!a de retencin diferente y por lo tanto puedan bien ser retenidas despus de que el arc!ivo !aya sido
sobrescrito. La fec!a de creacin, no la fec!a de retencin, diferenciar+ los arc!ivos que tengan el mismo
II Las redes neurales son efectivas para detectar el fraude porque pueden:
Las redes neurales se pueden usar para atacar problemas que requieren consideracin de numerosas variables de
input. Ellas son capaces de captar relaciones y patrones que a menudo se les escapa a otros mtodos
estad)sticos. Las redes neurales no descubrir+n nuevas tendencias. Ellas son in!erentemente no lineales y
no !acen supuestos sobre la forma de ninguna curva que relacione a las variables con el output. Las
II
-.u+l de los siguientes traduce formatos de correo electrnico desde una red a otra para que el
mensa$e pueda via$ar a travs de todas las redes2
3n gate8ay realia el traba$o de traducir formatos de correo electrnico de una red a otra para que los mensa$es
puedan seguir su camino a travs de todas las redes. 3n convertidor de protocolo es un dispositivo de !ard8are
que convierte entre dos tipos diferentes de transmisiones, como por e$emplo transmisiones as)ncronas y
s)ncronas. 3n procesador de inicio de comunicacin conecta todas las l)neas de comunicacin de red a una
II
IHbrISuponiendo que este diagrama representa una instalacin interna y la organiacin est+
implementando un programa de proteccin de fire8all, -Dnde deber)an instalarse los fire8alls2
El ob$etivo de un fire8all es proteger una red confiable contra una red no confiable4 por lo tanto, las ubicaciones
que necesitan implementaciones de fire8all estar)an en la e#istencia de las cone#iones e#ternas. 6odas las otras
respuestas son incompletes o representan cone#iones internas.
II
IHbrI%ara las ubicaciones Qa, ;d y Qd, el diagrama indica !ubs con l)neas que parecen estar
abiertas y activas. Suponiendo que es verdad,
-qu controles, si !ubiera, se recomendar)a para mitigar esta debilidad2
Los !ubs abiertos representan una debilidad significativa de control a causa del potencial de f+cil acceso a una
cone#in de red. 3n !ub inteligente permitir)a la desactivacin de un solo %uerto mientras de$a activos los
puertos restantes. (dicionalmente, la seguridad f)sica tambin proveer)a una proteccin raonable sobre los !ubs
con puertos activos.
II IHbrIEn el +rea Nc del diagrama, !ay tres !ubs conectados entre s). -5u riesgo potencial podr)a esto
indicar2
Los !ubs son dispositivos internos que generalmente no tienen conectividad e#terna directa y por ello no est+n
propensos a !acRers. "o se conocen virus que sean espec)ficos para los ataques de !ubs. 'ientras que esta
situacin puede ser un indicador de controles deficientes de la gerencia, La opcin , es m+s probable
cuando se sigue la pr+ctica de amontonar !ubs y crear m+s cone#iones de terminales.
II .uando una %. que !a sido utiliada para el almacenamiento de datos confidenciales es vendida en el
mercado abierto:
El disco duro debe ser desmagnetiado ya que esto causar+ que todos los bits sean puestos a cero eliminando
as) cualquier posibilidad de que la informacin que !aya estado almacenada anteriormente en el disco, sea
recuperada. 3n formato de nivel medio no borra informacin del disco duro, slo restablece los se9aladores
de directorio. La eliminacin de datos del disco elimina el se9alador del arc!ivo, pero en realidad de$a
II 3n puerto serial universal 03S,1: El puerto 3S, conecta la red sin tener que instalar una tar$eta separada de interfa de red dentro de una
computadora usando un adaptador 3S, de Et!ernet.
II -.mo puede una empresa proveer acceso a su Intranet 0i.e., e#tranet1 a travs de la Internet a sus
socios comerciales2
3na red virtual privada 0E%", siglas de los trminos en ingls1 permite que los socios e#ternos participen con
seguridad en la e#tranet usando redes p*blicas como un transporte o redes privadas compartidas. Debido a
su ba$o costo, usar .las redes p*blicas 0Internet1como transporte es el mtodo principal. Los E%"s se
basan en tcnicas de tuneliacin7encapsulacin, que permiten que el protocolo de Internet 0I%1 lleve una
La mayor preocupacin cuando se implementan fire8alls encima de sistemas operativos comerciales es la
presencia potencial de vulnerabilidades que podr)an socavar la postura de seguridad de la plataforma misma
de fire8all. En la mayor)a de las circunstancias, cuando se violan los fire8alls comerciales, esa violacin es
facilitada por vulnerabilidades en el sistema operativo subyacente. 'antener disponibles todas las
II 3n !ub es un dispositivo que conecta:
3n !ub es un dispositivo que conecta dos segmentos de un solo L(", 3n !ub es una repetidora, provee
conectividad transparente a los usuarios en todos los segmentos del mismo L(". Es un dispositivo de nivel ;.
3n puente opera en el nivel N de la capa ?SI y se usa para conectar dos L("s usando protocolos diferentes
0por e$emplo, uniendo una red de et!ernet con una red de toRen1 para formar una red lgica. 3n gate8ay, que
II -.u+l de los siguientes ayudar)a a asegurar la portabilidad de una aplicacin conectada a una base de
datos2
El uso de lengua$e estructurado de pregunta 0S5L1 facilita la portabilidad. La verificacin de procedimientos de
importacin y e#portacin con otros sistemas asegura me$or interfa con otros sistemas, analiar los
procedimientos7triggers almacenados asegura el acceso7desempe9o apropiado, y revisar el dise9o, el modelo
entidadCrelacin, todos ser+n de ayuda pero no contribuyen a la portabilidad de una aplicacin que conecta a una
II
-.u+l de los siguientes dispositivos de !ard8are libera a la computadora central de realiar tareas de
control de red, conversin de formato y mane$o de mensa$es2
3n %rocesador de inicio de comunicacin 0@rontCend1 es un dispositivo de !ard8are que conecta todas las l)neas
de comunicacin a una computadora central para liberar a la computadora central.
II
-.u+l de los siguientes se puede usar para verificar los resultados del output y los totales de control
!acindolos coincidir contra los totales de datos de input y de control2
El balanceo de lote se usa para verificar los resultados de output y los totales de control !acindolos
coincidir contra los datos de input y los totales de control. Los formularios de encabeado de lote controlan
la preparacin de datos4 las correcciones de error de conversin de datos corrigen los errores que ocurren
debido a duplicacin de transacciones e ingreso de datos incorrectos4 y los controles de acceso sobre los
II -.u+l de los siguientes esperar)a encontrar un auditor de SI en un registro de consola2 Los errores de sistema son los *nicos que uno esperar)a encontrar en el registro de consola.
II
-.u+l de las siguientes metodolog)as basadas en sistema emplear)a una compa9)a de procesamiento
financiero para monitorear los patrones de gasto para identificar patrones anormales y reportarlos2
3na red neural monitorear+ y conocer+ patrones, reportando las e#cepciones para investigacin. El soft8are de
administracin de base de datos es un mtodo de almacenar y recuperar datos. La administracin de sistemas
de informacin provee estad)sticas de gerencia pero normalmente no tiene una funcin de monitoreo y
deteccin. Las tcnicas de auditor)a asistidas por computadora detectan situaciones espec)ficas, pero no est+n
%ara que la microcomputadora del auditor de SI se comunique con la mainframe, el auditor de SI debe usar
un convertidor de protocolo para convertir la transmisin as)ncrona y la s)ncrona. (dicionalmente, el mensa$e
debe ser enviado al buffer para compensar las velocidades diferentes de flu$o de datos.
II La interfa que permite acceso a los servicios de red de nivel m+s ba$o o m+s alto se denomina:
'iddle8are, una clase de soft8are empleado por las aplicaciones clienteCservidor, provee servicios, como
por e$emplo, identificacin, autenticacin, directorios y seguridad. @acilita las cone#iones clienteCservidor a
travs de la red y permite que las aplicaciones de cliente tengan acceso y actualicen bases de datos remotas y
arc!ivos de mainframe. @irm8are est+ constituido por c!ips de memoria con cdigo de programa
II -.u+l de los siguientes controles detectar+ en forma '+S efectiva la presencia de surgimientos de
errores en las transmisiones de red2
La verificacin de redundancia c)clica 0.&., siglas de los trminos en ingls1 puede verificar un bloque de
datos transmitidos. Las estaciones de traba$o generan la .&. y la transmiten con los datos al mismo tiempo.
La estacin de traba$o que recibe computa una .&. y la compara con la estacin de traba$o del remitente. Si
ambas son iguales entonces se asume que el bloque est+ libre de error. En este caso 0como por e$emplo un error
II -.u+l de los siguientes tipos de fire8alls provee el '(F?& grado y granularidad de control2
El gate8ay de aplicacin es similar a un gate8ay de circuito, pero tiene pro#ies espec)ficos para cada servicio.
%ara poder mane$ar los servicios 8eb tiene un pro#y de !ttp, que act*a como un intermediario entre e#ternos
e internos, pero espec)ficamente para !ttp. Esto significa que no slo verifica el paquete de direcciones de I%
0capa Q1 y los puertos a los que est+ dirigido 0en este caso el puerto SA, la capa O1, tambin verifica cada
II -.u+l de las capas del modelo IS?7 ?SI provee servicio para cmo enrutar los paquetes entre los
nodos2
La informacin de interruptores y rutas de capas de red 0encabeador o !eader de capa de red1. Los servicios de
enlace de datos nodo a nodo se e#tienden a travs de la red mediante esta capa. La capa de red provee tambin
servicio para cmo enrutar los paquetes 0unidades de informacin en la capa de red1 entre los nodos conectados
a travs de una red arbitraria. La capa de enlace de datos transmite informacin como grupos de bits 0unidades
II En una red basada en 6.%7I%, una direccin de I% especifica:
3na direccin de I% especifica una cone#in de red. .omo una direccin de I% codifica tanto una red como un
anfitrin en esa red, ellos no especifican una computadora individual, sino una cone#in a una red. 3n router
7gate8ay conecta dos redes y tendr+ dos direcciones de I%. De a!) que, una direccin de I% no pueda
especificar un router. 3na computadora en la red puede ser conectada a otras redes tambin. En ese caso
II
El dispositivo para e#tender la red que debe tener capacidad de almacenamiento para almacenar
marcos 0frames1 y para actuar como un dispositivo de almacenamiento y reenv)o es un:
Los puentes conectan dos redes separadas para formar una red lgica 0por e$emplo, uniendo una red de
et!ernet con un red de toRen1. Este dispositivo de !ard8are debe tener capacidad de almacenamiento para
almacenar marcos y para actuar como un dispositivo de almacenamiento y reenv)o. Los puentes operan en
la capa de enlace de datos de ?SI e#aminando el encabeador de control de acceso a los medios de un
II En una arquitectura cliente 7servidor, un servicio de nombre de dominio 0domain name serviceCD"S1
es lo '+S importante porque provee:
El D"S es primariamente utiliado en la Internet para la resolucin del nombre Gdireccin del sitio 8eb. Es un
servicio de Internet que traduce nombres de dominio en direccin es de I%. .omo los nombres son alfabticos,
son m+s f+ciles de recordar. Sin embargo, la Internet se basa en direcciones de I%. .ada ve que se usa un
nombre de dominio, un servicio D"S debe traducir el nombre en la direccin de I% correspondiente. El
II En un servidor de 8eb, una interfa com*n de gate8ay 0.:I1 es usada con la '(F?& frecuencia
como:
La interfa com*n de gate8ay 0.:I1 es una forma est+ndar para que un servidor de 8eb pase la solicitud de un
usuario de 8eb a un programa de aplicacin y para que reciba y env)e los datos al usuario. .uando el
usuario solicita una p+gina de 8eb 0por e$emplo, presionando en una palabra iluminada o ingresando una
direccin de sitio de 8eb1, el servidor env)a de regreso la p+gina solicitada. Sin embargo, cuando un usuario
II
&ecibir una transaccin de intercambio electrnico de datos 0electronic data interc!angeCEDI1 y
pasarla a travs de la etapa de interfa de comunicaciones requiere a menudo:
La etapa de interfa de comunicaciones requiere procedimientos de verificacin del direccionamiento. EDI
o ("SI T;N es un est+ndar que debe ser interpretado por una aplicacin para que las transacciones sean
procesadas y luego facturadas, pagadas y enviadas, tanto si corresponden a mercanc)a como a servicios. SKI@6
es un e$emplo de cmo EDI !a sido implementado y adoptado. "o tiene sentido enviar y recibir
II %ara un sistema de procesamiento de transacciones en l)nea, las transacciones por segundo es una
medida de:
Las medidas de t!roug!put miden cu+nto traba$o es efectuado por un sistema durante un per)odo de tiempo4 mide
la productividad del sistema. En un sistema
de procesamiento de transacciones en l)nea, las transacciones por segundo son un )ndice de t!roug!put. El tiempo
de respuesta se define como la longitud de tiempo que transcurri entre el sometimiento de un input y el recibo
II
-5u es un riesgo asociado con intentar controlar el acceso f)sico a las +reas sensitivas, como por
e$emplo salas de computadora, a travs de llaves de tar$eta, cerro$os, etc.2
El concepto de piggybacRing compromete todo el control f)sico establecido. La opcin , ser)a una
preocupacin m)nima en un entorno de recuperacin de desastre. Los puntos en la opcin . son se duplican
f+cilmente. &especto a la opcin D, la tecnolog)a est+ cambiando constantemente pero las llaves de tar$eta !an
e#istido por alg*n tiempo ya y parece que son una opcin viable para el futuro previsible.
II -.u+l de las siguientes se considerar)a una caracter)stica esencial de un sistema de administracin de
red2
%ara rastrear la topolog)a de la red ser)a esencial que e#istiera una interfa gr+fico "o es necesario que
cada red est en la Internet y un !elp desR, y la capacidad de e#portar a una !o$a de traba$o no es un elemento
esencial.
II El error m+s probable que ocurre cuando se implementa un fire8all es:
3na lista de acceso actualiada e impecable es un desaf)o significativo y, por lo tanto, tiene la mayor oportunidad
de errores en el momento de la instalacin inicial. Las contrase9as no se aplican a los fire8alls, un mdem evade
un fire8all y un ataque de virus no es un elemento al implementar un fire8all.
II -.u+l de las siguientes disposiciones f)sicas de L(" est+ su$eta a prdida total si falla un dispositivo2
La red de bus es vulnerable a falla si falla un dispositivo. Los dispositivos est+n conectados en un solo cable. Si
este calbe es cortado, todos los dispositivos m+s all+ del punto de corte no estar)an disponibles.
II 3na !erramienta de diagnstico de red que monitorea y registra informacin de red es un:
Los analiadores de protocolo son !erramientas de diagnstico de red que monitorean y registran informacin
de red de los paquetes que via$an en el enlace al que est+ conectado el analiador. Los monitores en l)nea 0?pcin
(1 miden las transmisiones de telecomunicaciones y determinan si las transmisiones son correctas y completas.
Los reportes de tiempo improductivo 0?pcin ,1 rastrean la disponibilidad de l)neas y circuitos de
II -.u+l de los siguientes ayudar+ a detectar los cambios efectuados por un intruso al registro de sistema
de un servidor2
3n .D que se escribe una sola ve no puede ser sobrescrito. %or lo tanto, el registro de sistema duplicado
en el disco podr)a compararse con el registro original para detectar diferencias, que podr)a ser el resultado de
cambios efectuados por un intruso. %roteger la escritura en el registro de sistema no previene la eliminacin o
modificacin, ya que el s*per usuario puede evadir la proteccin de escritura. La copia de respaldo y el
II .uando se revisa la implementacin de una L(" el auditor de SI debe %&I'E&? revisar:
%aras revisar debidamente una implementacin de L(", el auditor de SI debe primero verificar el diagrama de
red y confirmar la aprobacin. La verificacin de nodos de la lista de nodos y el diagrama de red ser)a luego
seguido por una revisin del reporte de la prueba de aceptacin y luego la lista del usuario.
II -.u+l de los siguientes es un e$emplo del principio de defensa e#!austiva de la seguridad2
Defensa e#!austiva 0inCdept!1 significa usar diferentes mecanismos de seguridad que se respaldan entre s).
.uando el tr+fico de red pasa involuntariamente un fire8all, los controles de acceso lgico forman una
segunda l)nea de defensa. 3sar dos fire8alls de diferentes vendedores para verificar de manera consecutiva
el tr+fico de red entrante es un e$emplo de diversidad en la defensa. Los fire8alls son los mismos
II -.u+l de los siguientes asegura 'E>?& la integridad del sistema operativo de un servidor2
Endurecer 0!ardening1 un sistema significa configurarlo en la forma m+s segura 0instalar los *ltimos
parc!es de seguridad, definir debidamente la autoriacin de acceso para usuarios y administradores,
in!abilitar las opciones inseguras y desinstalar los servicios no utiliados1 para prevenir que los usuarios
no privilegiados obtengan el derec!o de e$ecutar instrucciones privilegiadas y de ese modo tomen control de
II
-.u+l de los siguientes componentes de red es %&I'(&I('E"6E establecido para servir como
una medida de seguridad impidiendo el tr+fico no autoriado entre diferentes segmentos de la red2
Los sistemas @ire8all son la !erramienta primaria que permite que una organiacin impida el acceso no
autoriado entre las redes. 3na organiacin puede escoger utiliar uno o m+s sistemas que funcionan como
fire8alls. Los routers pueden filtrar paquetes basados en par+metros, como por e$emplo direccin fuente, pero
no son primariamente una !erramienta de seguridad. ,asado en direcciones de .ontrol de (cceso a los
II %ara evaluar la integridad referencial de una base de datos un auditor de SI debe revisar:
3na llave7clave e#terna es una columna en una tabla que referencia a una llave7clave primaria de otra tabla,
proveyendo as) la integridad referencial. Las llaves7claves compuestas est+n constituidas por dos o m+s
columnas designadas $untas como la llave7clave primaria de una tabla. La inde#acin de campo acelera las
b*squedas, pero no asegura la integridad referencial. La integridad referencial est+ relacionada con el
II
3n auditor de SI detect que varias %.s conectados con el Internet tienen un nivel ba$o de seguridad
que est+ permitiendo el registro libre de cooRies. Este crea un riesgo porque las cooRies almacenan
localmente:
El arc!ivo de cooRies reside en la m+quina cliente. .ontiene datos pasados desde los sitios 8eb, para que los
sitios 8eb puedan comunicarse con este arc!ivo cuando el mismo cliente regresa. El sitio 8eb slo tiene acceso a
esa parte del arc!ivo de cooRie que representa la interaccin con ese sitio 8eb en particular. Los arc!ivos de
cooRies !an causado algunos problemas con respecto a la privacidad. Las cuatro opciones se relacionan todas
II -.u+l de los siguientes es la causa '+S probable para que un servidor de correo sea usado para enviar
spam2
3n pro#y abierto 0o relay abierto1 permite que personas no autoriadas diri$an 0route1 su spam a travs del
servidor de correo de otro. %?%Q y S'6% son protocolos de correo com*nmente usados. (ctivar el registro de
actividad 0accounting1 de usuarios no se relaciona con usar un servidor para enviar spam.
II La preocupacin de seguridad '+S significativa cuando se usa una memoria flas! 0por e$emplo, disco
removible 3S,1 es que:
( menos que est debidamente controlada, una memoria flas! provee una posibilidad para que cualquiera
copie cualquier contenido con facilidad. Los contenidos almacenados en la memoria flas! no son vol+tiles.
Sacar copias de respaldo a los datos de la memoria flas! no es una preocupacin de control ya que los datos son
a veces almacenados como copia de respaldo. 3na memoria flas! ser+ accedida a travs de un %. me$or que
II
3n auditor de SI que revisa una aplicacin de base de datos descubre que la configuracin
actual no coincide con la estructura dise9ada originalmente. -.u+l de los siguientes deber)a ser la
pr#ima accin del auditor de SI2
El auditor de SI debe primero determinar si las modificaciones fueron aprobadas debidamente. Las opciones (,
, y . son posibles acciones posteriores, si el auditor encuentra que la modificacin estructural no !a sido
aprobada.
II
El administrador de base de datos 0D,(1 sugiere que la eficiencia de la ,ase de Datos 0D,1
puede ser me$orada desnormaliando algunas tablas. Esto resultar)a en:
La normaliacin es un proceso de dise9o o de optimiacin para una base de datos 0D,1 relacional que
minimia la redundancia4 por lo tanto, la desnormaliacin aumentar)a la redundancia 0redundancia que es,
por lo general, considerada positiva cuando es una cuestin de disponibilidad de recursos, es negativa en un
entorno de base de datos, ya que e#ige esfueros adicionales, de otro modo innecesarios, de mane$o de
II
-.u+l de los siguientes es el mtodo '+S efectivo para tratar con la divulgacin de un gusano de red
que se aprovec!a de la vulnerabilidad en un protocolo2
Detener el servicio e instalar la reparacin de seguridad es la forma m+s segura de impedir que el gusano se
e#tienda. Si el servicio no es detenido, instalar la reparacin no es el mtodo m+s efectivo porque el gusano
contin*a e#tendindose !asta que la reparacin se vuelve efectiva. ,loquear el protocolo en el per)metro no
impide al gusano e#tenderse a la red0es1 interna0s1. ,loquear el protocolo ayuda a desacelerar la
3n monitor de referencia es un mecanismo abstracto que verifica cada solicitud !ec!a por un individuo
0proceso de usuario1 para tener acceso y usa un ob$eto 0por e$., arc!ivo, dispositivo, programa1 para
asegurar que la solicitud cumple con una pol)tica de seguridad. 3n monitor de referencia es
implementado a travs de un n*cleo 0Rernel1 de seguridad, que es un mecanismo de !ard8are 7soft8are
II Las !erramientas de filtrado de la 8eb y del correo electrnico son %&I".I%(L'E"6E valiosas para
una organiacin porque ellas:
La ran principal para invertir en !erramientas de filtrado de la 8eb y de correo electrnico es que ellas reducen
significativamente los riesgos relacionados con virus y material que no es del negocio. La opcin , podr)a ser
cierta en algunas circunstancias 0i.e., necesitar)a ser implementada a$unto con un programa de conocimiento,
para que el desempe9o 7 rendimiento del empleado pueda ser me$orado de manera significativa14 sin embargo,
II -.u+l de los siguientes es el '(F?& riesgo relacionado con el monitoreo de los registros de
auditor)a2
Si no se investigan las acciones no autoriadas del sistema, el registro no tiene utilidad. %urgar los registros
antes de una revisin peridica es un riesgo pero no es tan cr)tico como la necesidad de investigar las acciones
cuestionables. &egistrar los eventos de rutina pueden !acer m+s dif)cil reconocer las acciones no autoriadas,
pero los eventos cr)ticos a*n as) se registran. Los procedimientos para !abilitar y revisar los registros
II 3n comit de seguimiento de 6I revisar)a los sistemas de informacin %&I'(&I('E"6E para
determinar:
la estabilidad del soft8are como la comple$idad de la tecnolog)a, son aspectos demasiado estrec!os en su
II El efecto '+S probable de la falta de participacin de la alta gerencia en la planeacin estratgica de
6I es:
II -.u+l de los siguientes es una funcin de un comit de direccin de SI2
de SI y no debe involucrarse en operaciones de rutina, por lo tanto, una de sus funciones es aprobar y
monitorear los principales proyectos, la situacin de los planes y presupuestos de SI. El control de cambio de
vendedor es un aspecto de outsourcing y debe ser monitoreado por la gerencia de SI. (segurar una separacin de
II 3n comit de direccin de SI debe:
II La participacin de la alta gerencia es '+S importante en el desarrollo de:
II El gobierno efectivo de 6I asegurar+ que el plan de 6I sea consistente con el:
%ara gobernar 6I eficamente, 6I y el negocio deben moverse en la misma direccin, requiriendo que los
planes de 6I estn alineados con los planes de negocio de una organiacin. Los planes de auditor)a y de
inversin no forman parte del plan de 6I y el plan de seguridad debe ser al nivel corporativo.
II Establecer el nivel de riesgo aceptable es responsabilidad de:
La alta gerencia deber)a establecer el nivel de riesgo aceptable, ya que ellos son los responsables en *ltima
instancia o los responsables finales de la operacin efectiva y eficiente de la organiacin. Las opciones (, . y D
deber)an actuar como asesores de la alta gerencia para determinar un nivel aceptable de riesgo.
II El gobierno de 6I es %&I'(&I('E"6E responsabilidad del:
El gobierno de 6I es primariamente responsabilidad de los e$ecutivos y de los accionistas 0representados
por la $unta directiva Mboard of directors.U1 El director general es instrumental para implementar el gobierno
de 6I en conformidad con las instrucciones de la $unta directiva. El comit de seguimiento de 6I monitorea y
facilita el despliegue de los recursos de 6I para proyectos espec)ficos en soporte de los planes de negocio. El
II Desde una perspectiva de control, el elemento clave en las descripciones de traba$os es que:
Desde una perspectiva de control, la descripcin de un traba$o debe establecer responsabilidad y deber de
reportar7imputabilidad 0accountability1. Esto ayudar+ a asegurar que se d a los usuarios acceso al sistema en
conformidad con las responsabilidades definidas de su traba$o. Las otras opciones no est+n directamente
relacionadas con los controles. %roveer instrucciones sobre cmo !acer el traba$o y definir la autoridad,
II -.u+l de lo siguiente proveer)a 'E>?& garant)a de la integridad del nuevo personal2
3na investigacin de los antecedentes es el mtodo primario para asegurar la integridad de un prospectivo
miembro del personal. Las referencias son importantes y ser)a necesario verificarlas, pero no son tan fiables
como la investigacin de los antecedentes. La fiana est+ referenciando al cumplimiento de la debida diligencia,
no a la integridad, y las calificaciones7!abilidades indicadas en un rsum7curriculum vitae7!o$a de vida, pueden
II -.u+l de los siguientes ser)a un control compensatorio para mitigar los riesgos resultantes de una
II .uando un empleado es despedido de su servicio, la accin '+S importante es:
II
El cuadro de mandos o marcador balanceado 0balanced scorecard1 de 6I es una !erramienta de
gobierno del negocio que est+ destinada a monitorear los indicadores de evaluacin del desempe9o
0performance1 de 6I aparte de:
Los resultados financieros !an sido tradicionalmente la *nica medida general de desempe9o. El cuadro de
mandos o marcador balanceado de 6I 0,S.1 es una !erramienta de gobierno del negocio de 6I dirigida a
monitorear los indicadores de evaluacin del desempe9o de 6I adem+s de los resultados financieros. El
,S. de 6I considera otros factores clave de #ito, tales como la satisfaccin del cliente, la capacidad de
II
La funcin de establecimiento del libro mayor7mayor general 0general ledger1 en un paquete
empresarial 0E&%1 permite fi$ar per)odos contables. El acceso a esta funcin !a sido permitido a los
usuarios en finanas, almacn e ingreso de rdenes. La ran '+S probable para dic!o amplio
acceso es:
II 'uc!as organiaciones requieren que todos los empleados toman una vacacin obligatoria de una
semana o m+s para:
regular realice la funcin del puesto de traba$o es a menudo obligatoria para las posiciones importantes. Esto
reduce la oportunidad de cometer actos indebidos o ilegales, y durante este tiempo puede ser posible
descubrir cualquier actividad fraudulenta que estuviera ocurriendo. Las opciones (, . y D todas podr)an
II 3n administrador de L(" estar)a normalmente restringido de:
II
3n empleado de SI de largo plao que cuenta con un antecedente tcnico fuerte y con amplia
e#periencia gerencial !a aplicado para una posicin vacante en el departamento de auditor)a de
SI. La determinacin de si se debe contratar a esta persona para esta posicin deber)a basarse en
la e#periencia de la persona y en:
no puede por s) mismo asegurar la credibilidad. Las necesidades del departamento de auditor)a deber)an ser
II 3n auditor de SI deber)a preocuparse cuando un analista de telecomunicacin:
II (ntes de implementar un cuadro de mandos o marcador balanceado 0balanced scorecard1 de 6I, una
organiacin debe:
Se requiere una definicin de indicadores clave de desempe9o antes de implementar un cuadro de mandos o
marcador balanceado 0balanced scorecard1 de
6I. Las opciones (, . y D son ob$etivos.
II %ara soportar las metas de una organiacin, el departamento de SI debe tener:
alcanar)a cada uno de los ob$etivos. La opcin D podr)a ser parte del plan general pero se requerir)a solamente
II (l revisar el plan de corto plao 0t+ctico1 de SI, el auditor de SI debe determinar si:
mientras se revisa el plan de corto plao. 3n plan estratgico proveer)a un marco para el plan de corto plao de SI.
Las opciones ,, . y D son +reas cubiertas por un plan estratgico.
II -5u es lo que un auditor de sistemas considerar)a '+S relevante para la planificacin de corto plao
El departamento de IS debe considerar espec)ficamente la forma en que se asignan los recursos en el
corto plao. Las inversiones en 6I necesitan estar alineadas con las estrategias principales de la administracin,
en lugar de concentrarse en la tecnolog)a por la tecnolog)a en s) misma. Llevar a cabo estudios de auto
evaluacin de control y evaluar las necesidades de !ard8are no es tan cr)tico como asignar los recursos durante la
II -.u+l de las metas siguientes esperar)a usted encontrar en el plan estratgico de una organiacin2
compre!ensiva ayuda a asegurar una organiacin efectiva y eficiente. La planeacin estratgica est+ orientada
al tiempo y a los proyectos, pero tambin debe resolver y ayudar a determinar prioridades para satisfacer las
necesidades del negocio. Los planes de largo y corto plao deber)an ser consistentes con los planes m+s amplios
II -.u+l de los siguientes considerar)a un auditor de SI que es '+S importante cuando se eval*a la
II 3n auditor de SI que revisa el plan estratgico de 6I de una organiacin deber)a %&I'E&? revisar:
II
Determinar si el plan de SI es consistente con la estrategia de la gerencia relaciona la planificacin de SI76I con
los planes del negocio. Las opciones (, . y D
II La venta$a de un mtodo de aba$o !acia arriba para el desarrollo de pol)ticas organiativas es que las
pol)ticas:
son venta$as de un mtodo de arriba !acia aba$o para desarrollar pol)ticas organiativas. Este mtodo asegura que
II -.u+l de los siguientes es el '(F?& riesgo de la definicin de una pol)tica inadecuada para
II El ob$etivo %&I'(&I? de una auditor)a de las pol)ticas de seguridad de 6I es asegurar que:
La orientacin del negocio debe ser el tema principal al implementar la seguridad. %or ello, una auditor)a
de las pol)ticas de seguridad de 6I debe primordialmente concentrarse en si las pol)ticas de seguridad y
control de 6I y relacionadas respaldan los ob$etivos del negocio y de 6I. &evisar si las pol)ticas est+n
disponibles para todos es un ob$etivo, pero la distribucin no asegura el cumplimiento. La disponibilidad de
II La velocidad de cambio de la tecnolog)a aumenta la importancia de:
II
II .uando se !a dise9ado una pol)tica de seguridad de informacin, lo '+S importante es que la pol)tica
%ara ser efectiva, una pol)tica de seguridad de informacin deber)a llegar a todos los miembros del
personal. (lmacenar la pol)tica de seguridad fuera del sitio o en un lugar seguro puede ser aconse$able pero
de poco valor si su contenido no es conocido por los empleados de la organiacin. La pol)tica de
seguridad de informacin deber)a ser escrita por los gerentes de unidad de negocios incluyendo SI, pero no
II El desarrollo de una pol)tica de seguridad de SI es resposabilidad de:
II
-.u+l de los siguientes programas es '+S probable que una pol)tica sana de seguridad de
informacin incluir)a, para mane$ar las intrusiones sospec!osas2
3na pol)tica sana de seguridad de SI es m+s probable que esboce un programa de respuesta para mane$ar
las intrusiones sospec!osas. Los programas de correccin, deteccin y monitoreo son todos aspectos de
seguridad de informacin, pero probablemente no ser+n incluidos en una declaracin de pol)tica de seguridad de
SI.
II -.u+l de los siguientes ser)a incluido en la pol)tica de seguridad de SI de una organiacin2
La pol)tica de seguridad provee la estructura amplia de la seguridad, como !a sido dispuesta y aprobada por
la alta gerencia. Incluye una definicin de las personas autoriadas para otorgar acceso y la base para otorgarlo.
Las opciones (, , y . est+n m+s detalladas que lo que deber)a incluirse en una pol)tica.
II -.u+l de los siguientes es un paso inicial para crear una pol)tica de fire8all2
La identificacin de las aplicaciones requeridas en toda la red debe ser identificada primero. Despus de la
identificacin, dependiendo de la ubicacin f)sica de estas aplicaciones en la red y el modelo de red, la
persona a cargo podr+ entender la necesidad y las posibles formas de controlar el acceso a estas
aplicaciones. Identificar los mtodos para proteger contra las vulnerabilidades identificadas y su an+lisis
II
La administracin de una organiacin !a decidido establecer un programa de conocimiento de la
seguridad. -.u+l de los siguientes es '+S
probable que sea parte del programa2
3tiliar un sistema de deteccin de intrusos para reportar sobre los incidentes que ocurren es una
implementacin de un programa de seguridad y no es efectivo para establecer un programa de conocimiento
de la seguridad. Las opciones , y . no resuelven el conocimiento. El entrenamiento es la *nica opcin que est+
dirigida al conocimiento de la seguridad.
II -.u+l de los siguientes es '+S cr)tico para la implementacin e#itosa y el mantenimiento de una
pol)tica de seguridad2
La asimilacin de la estructura y la intencin de una pol)tica de seguridad escrita por parte de los usuarios de los
sistemas es cr)tico para la implementacin e#itosa y el mantenimiento de la pol)tica de seguridad. 3no
puede tener un buen sistema de contrase9a, pero si los usuarios del sistema mantienen contrase9as
escritas en su mesa, el sistema de contrase9a tiene poco valor. El soporte y dedicacin de la gerencia es
II
Gldquo4documentoGrdquo4 !ace de la retencin de correspondencia electrnica una necesidad. 6odo el correo
II En una organiacin donde se !a definido una l)nea base 0baseline1 de seguridad de 6I el auditor de SI
debe %&I'E&? asegurar:
adicionales.
II %ara asegurar que una organiacin est+ cumpliendo con los requerimientos de privacidad, el auditor
II Los ob$etivos de control de 6I son *tiles para los auditores de SI, ya que ellos proveen la base para
entender:
II El paso inicial para establecer un programa de seguridad de informacin es:
II
clasificaciones del personal y las pol)ticas de compensaciones $ustas puede ser una problema moral, no
II
3na organiacin que adquiere otros negocios contin*a sus sistemas !eredados de EDI, y usa
tres proveedores separados de red de valor agregado 0E("1. "o e#iste ning*n acuerdo escrito de
E(". El auditor de SI debe recomendar a la gerencia que:
'ientras que la gerencia debe obtener garant)a independiente de cumplimiento, ello no se puede lograr
!asta que e#ista un contrato. 3n aspecto de administrar servicios de terceros es proveer monitoreo, sin
embargo, esto no se puede lograr !asta que e#ista un contrato. (segurar que se disponga de acuerdos de
II
De las funciones siguientes, -cu+l es la funcin '+S importante que debe realiar la administracin
de 6I cuando se !a dado un servicio para realiarse por outsourcing2
II
procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada
proveedor2
II 3na probable venta$a para una organiacin que !a efectuado outsourcing a su procesamiento de
totalidad del procesamiento de informacin a una parte e#terna. Esto se !ace con frecuencia para adquirir
recursos o e#periencia adicionales que no se obtiene desde el interior de la organiacin.
II 3n auditor de SI que revisa un contrato de outsourcing de las instalaciones de 6I esperar)a que ste
defina:
espec)fica. De manera similar, la metodolog)a de desarrollo no deber)a de real preocupacin. El contrato
debe, sin embargo, especificar quin es el due9o de la propiedad intelectual 0i.e., la informacin que est+ siendo
II
.uando efect*a una revisin de la estructura de un sistema de transferencia electrnica de
fondos 0E@61, un auditor de SI observa que la infraestructura tecnolgica est+ basada en un
esquema centraliado de procesamiento que !a sido asignado 0outsourced1 a un proveedor en otro
pa)s. ,asado en esta informacin, -cu+l de las siguientes conclusiones debe ser la %&I".I%(L
En el proceso de transferencia de fondos, cuando el esquema de procesamiento est+ centraliado en un
pa)s diferente, podr)a !aber problemas legales de $urisdiccin que pudieran afectar el derec!o a realiar una
revisin en el otro pa)s. Las otras opciones, aunque posibles, no son tan relevantes como el problema de
$urisdiccin legal.
II
II
El auditor de SI deber)a buscar una verificacin independiente que el IS% pueda realiar las tareas que
est+n siendo contratadas. Las referencias de otros clientes proveer)an una revisin y verificacin
independiente, e#terna, de procedimientos y procesos que sigue el IS% Gndas!4 aspectos que ser)an de
preocupacin para el auditor de SI. Eerificar las referencias es un medio de obtener una verificacin
II Los riesgos asociados con recopilar evidencia electrnica es '+S probable que se reducan, en el caso
de un eCmail, por una:
.on una pol)tica de registros de eCmail bien arc!ivados, es posible el acceso a o la recuperacin de registros de eC
mails espec)ficos, sin revelar otros registros de eCmail confidenciales. Las pol)ticas de seguridad y7o pol)ticas
de auditor)a no resolver)an la eficiencia de recuperacin de registros, y destruir eCmails puede ser un acto
ilegal.
II El resultado 0output1 del proceso de administracin de riesgos es un input para !acer:
El proceso de administracin del riesgo trata sobre la toma de decisiones relacionadas con seguridad
espec)fica, tal como el nivel de riesgo aceptable. Las opciones (, , y D no son las metas en *ltima instancia del
proceso de administracin del riesgo.
II
3n auditor de SI fue contratado para revisar la seguridad de un negocio electrnico 0eC
business1. La primera tarea del auditor de SI fue e#aminar cada aplicacin e#istente de eCbusiness
en busca de vulnerabilidades. -.u+l ser)a la siguiente tarea2
El auditor de SI debe identificar los activos, buscar vulnerabilidades, y luego identificar las amenaas y la
probabilidad de que ocurran. Las opciones (, , y D deber)an ser discutidas con el director de sistemas
0.!ief Information ?fficerGmdas!4.I?1 y se deber)a entregar un reporte al director general 0.!ief
E#ecutive ?fficerGmdas!4 .E?.1 El reporte deber)a incluir los !allagos $unto con las prioridades y los costos.
II -.u+l de los siguientes es un mecanismo para mitigar los riesgos2
Los riesgos se mitigan implementando pr+cticas apropiadas de seguridad y de control. El seguro es un
mecanismo para transferir el riesgo. La auditor)a y la certificacin son mecanismos de aseguramiento del riesgo,
y los contratos y SL(s son mecanismos de asignacin de riesgo.
II .uando se desarrolla un programa de administracin de riesgos, la %&I'E&( actividad que se debe
realiar es:
La identificacin de los activos a ser protegidos es el primer paso en el desarrollo de un programa de
administracin de riesgos. 3n listado de las amenaas que pueden afectar el desempe9o de estos activos y el
an+lisis de criticalidad son pasos posteriores en el proceso. La clasificacin de datos se requiere para definir
los controles de acceso, y en el an+lisis de la criticalidad.
II
3n equipo que lleva a cabo un an+lisis de riesgo est+ teniendo dificultad para proyectar las prdidas
financieras que podr)an resultar de riesgo. %ara evaluar las prdidas potenciales el equipo deber)a:
La pr+ctica com*n, cuando es dif)cil calcular las prdidas financieras, es tomar un enfoque cualitativo, en el
que el gerente afectado por el riesgo define la prdida financiera en trminos de un factor ponderado 0e.g., ; es
un impacto muy ba$o para el negocio y < es un impacto muy alto1. 3n &?I es computado cuando !ay a!orros o
ingresos predecibles, que pueden ser comparados con la inversin que se necesita para realiar los ingresos. La
II La falta de controles adecuados de seguridad representa:
La falta de controles adecuados de seguridad representa una vulnerabilidad, e#poniendo informacin y datos
sensitivos al riesgo de da9os maliciosos, ataque o acceso no autoriado por !acRers, que tiene como
consecuencia la prdida de informacin sensitiva, que podr)a conducir a la prdida de plusval)a
0good8ill 1 para la organiacin. 3na definicin sucinta del riesgo es suministrada por las Directivas para la
II -.u+l de los siguientes es el ob$etivo %&I'(&I? de un proceso de medicin de
del desempe9o7performancia, pero no es el ob$etivo primario de la administracin del
II
esperados2
II .omo resultado del gobierno de seguridad de informacin, la alineacin estratgica dispone:
El gobierno de seguridad de informacin, cuando est+ debidamente implementado, debe proveer cuatro
resultados b+sicos. Estos son alineamiento estratgico, entrega de valor, mane$o del riesgo y medida del
desempe9o. La alineacin estratgica provee datos de entrada 0input1 para los requerimientos de seguridad
impulsados por los requerimientos de la empresa. La entrega de valor provee un con$unto est+ndar de pr+cticas
II
En una organiacin, las responsabilidades de seguridad de 6I est+n claramente asignadas y
e$ecutadas y se efect*a de manera consistente un an+lisis del riesgo de la seguridad de 6I y del
impacto. -5u nivel de clasificacin representa esto en el modelo de madure de gobierno de
seguridad de informacin2
Las $untas directivas y la gerencia e$ecutiva pueden usar el modelo de madure de gobierno de seguridad de
informacin para establecer clasificaciones para la seguridad en sus organiaciones. Los rangos son
ine#istentes, iniciales, repetibles, definidos, mane$ados y optimiados. .uando las responsabilidades de la
seguridad de 6I est+n claramente asignadas y e$ecutadas y se realia de manera consistente un an+lisis del riesgo
II -.u+l de las siguientes me$ores pr+cticas de gobierno de 6I me$ora el alineamiento estratgico2
La alta gerencia media entre los imperativos del negocio y la tecnolog)a es una me$or pr+ctica de alineamiento
estratgico de 6I. Los riesgos del proveedor y del socio que est+n siendo mane$ados es una me$or pr+ctica
del mane$o del riesgo. 3na base de conocimientos de los clientes, productos, mercados y procesos que
est+ instalada es una me$or pr+ctica de entrega de valor de 6I. 3na infraestructura que es suministrada para
II 3n gobierno efectivo de 6I requiere estructuras y procesos organiacionales para asegurar que:
3n gobierno efectivo de 6I requiere que la $unta y la gerencia e$ecutiva e#tiendan el gobierno a 6I y
provean el liderago, las estructuras y procesos organiacionales que aseguren que la 6I de la organiacin
sostiene y e#tiende las estrategias y ob$etivos de la organiacin y que la estrategia est+ en armon)a con la
estrategia del negocio. La opcin ( es incorrecta porque es la estrategia de 6I la que e#tiende los ob$etivos
II La evaluacin de los riesgos de 6I se logra 'E>?&:
%ara analiar los riesgos de 6I, es necesario evaluar las amenaas y vulnerabilidades usando mtodos
cualitativos o cuantitativos de evaluacin del riesgo. Las opciones ,, . y D son potencialmente insumos
*tiles para el proceso de evaluacin del riesgo, pero por s) mismas no son suficientes. ,asar una
evaluacin en las prdidas pasadas no refle$ar+ de manera adecuada los cambios inevitables a los activos,
II
.uando e#iste preocupacin por la segregacin de funciones entre el personal de soporte y los
usuarios finales, -cu+l ser)a un control compensatorio adecuado2
Slo revisar los registros de transacciones y de aplicacin directamente resuelve la amenaa planteada por la
segregacin deficiente de funciones. La revisin es un medio de detector el comportamiento inapropiado y
tambin disuade de uso inapropiado, porque las personas que pueden de otro modo tentarse de e#plotar la
situacin est+n concientes de la probabilidad de ser atrapados. La segregacin inadecuada de funciones es
II Dar responsabilidad a las unidades del negocio sobre el desarrollo de aplicaciones conducir+ '3F
probablemente a:
(l desarrollar aplicaciones en las unidades de negocio, los usuarios a!ora a cargo de las aplicaciones podr)an
evadir los controles. Las opciones (, . y D no est+n relacionadas con, ni puede asumirse que resulten de, mover
las funciones de SI a las unidades de negocio4 de !ec!o, en algunos casos, se puede asumir lo opuesto. %or
e$emplo, como las personas de la unidad de negocio no tienen e#periencia en desarrollar aplicaciones, es
II 3n mtodo de arriba aba$o para el desarrollo de las pol)ticas operacionales ayudar+ a asegurar:
Derivar pol)ticas de nivel inferior de las pol)ticas corporativas 0un mtodo de arriba aba$o1 ayuda a
asegurar consistencia en toda la organiacin y consistencia con otras pol)ticas. El mtodo de aba$o arriba
para el desarrollo de las pol)ticas operativas se deriva como resultado de la evaluacin del riesgo. 3n mtodo de
arriba aba$o por s) mismo no asegura que las pol)ticas sean revisadas.
II 3n auditor de SI que revisa una organiacin que usa pr+cticas de entrenamiento cruado debe
evaluar el riesgo de:
El entrenamiento cruado es un proceso de entrenar m+s de una persona para que realice un traba$o o
procedimiento espec)fico. Esta pr+ctica ayuda a reducir la dependencia de una sola persona y asiste en la
planeacin de la sucesin. Esto provee el respaldo de personal en el caso de una ausencia y, de ese modo,
provee la continuidad de las operaciones. Sin embargo, al usar este mtodo, es prudente !acer evaluar
II -.u+l de los controles siguientes buscar)a un auditor en un entorno en el cual las funciones no pueden
ser segregadas de manera apropiada2
Los controles compensatorios son controles internos que pretenden reducir el riesgo de una debilidad de
control e#istente o potencial que puede surgir cuando las funciones no pueden ser segregadas de manera
apropiada. Los controles que se superponen son dos controles que tratan el mismo ob$etivo o e#posicin de
control. .omo los controles primarios no se pueden alcanar cuando las funciones no pueden ser o no est+n
II
-.u+l de lo siguiente es '(S probable que indique que un depsito de datos de cliente debe
permanecer en el local en lugar de ser e#tra)do
0outsourced 1 de una operacin e#terior 0offs!ore12
Las leyes de privacidad que pro!)ben el flu$o transfronterio de informacin identificable personalmente
!ar)a imposible ubicar un depsito de datos que contenga informacin de clientes en otro pa)s. Las
diferencias de ona !oraria y los costos m+s elevados de las telecomunicaciones son m+s mane$ables. El
desarrollo de soft8are requiere t)picamente especificaciones m+s detalladas cuando se trata de operaciones
II %ara minimiar los costos y me$orar los niveles de servicio, -un outsourcer debe buscar cu+l de las
siguientes cl+usulas de contrato2
.omo el outsourcer compartir+ un porcenta$e de los a!orros logrados, las bonificaciones por cumplimiento en
compartir las ganancias proveen un incentive financiero para ir para superar los trminos establecidos del
contrato y pueden conducir a a!orros en los costos para el cliente. Las frecuencias de las actualiaciones
y las penaliaciones por incumplimiento slo estimular)an al outsourcer a que cumpla con los requerimientos
II
.uando una organiacin est+ seleccionando 0outsourcing1 su funcin de seguridad de
informacin, -cu+l de lo siguiente debe ser conservado en la organiacin2
La responsabilidad no puede ser transferida a terceros a$enos. Las opciones ,, . y D pueden ser
efectuadas por entidades e#ternas mientras la responsabilidad contin*e dentro de la organiacin.
II -.u+l de los siguientes reduce el impacto potencial de los ataques de ingenier)a social2
.omo la ingenier)a social se basa en el enga9o del usuario, la me$or contramedida o defensa es un
programa de conciencia de la seguridad. Las otras opciones no est+n enfocadas al usuario.
II -.u+l de los siguientes provee la me$or evidencia de la adecuacin de un programa de conciencia de
la seguridad2
La adecuacin del contenido de conciencia de la seguridad puede evaluarse me$or determinando si el mismo es
revisado y comparado peridicamente con las me$ores pr+cticas de la industria. Las opciones (, , y . proveen
medidas para medir diversos aspectos de un programa de conciencia de la seguridad, pero no ayudan a evaluar
el contenido.
II -.u+l de las metas siguientes esperar)a usted encontrar en el plan estratgico de una organiacin2
compre!ensiva ayuda a asegurar una organiacin efectiva y eficiente. La planeacin estratgica est+
orientada al tiempo y a los proyectos, pero tambin debe resolver y ayudar a determinar prioridades para
satisfacer las necesidades del negocio. Los planes de largo y corto plao deber)an ser consistentes con los planes
II -.u+l de las siguientes me$ores pr+cticas de gobierno de 6I me$ora el alineamiento estratgico2
La alta gerencia media entre los imperativos del negocio y la tecnolog)a es una me$or pr+ctica de alineamiento
estratgico de 6I. Los riesgos del proveedor y del socio que est+n siendo mane$ados es una me$or pr+ctica
del mane$o del riesgo. 3na base de conocimientos de los clientes, productos, mercados y procesos que
est+ instalada es una me$or pr+ctica de entrega de valor de 6I. 3na infraestructura que es suministrada para
II
-.u+l de lo siguiente es la 'E>?& fuente de informacin para que la administracin use como una
ayuda en la identificacin de activos que est+n su$etos a las leyes y reglamentaciones2
&equisitos contractuales son una de las fuentes que deber)an ser consultadas para identificar los
requerimientos para la administracin de activos de informacin. Las me$ores pr+cticas de Eendedor
proveen una base para evaluar qu grado de competitividad tiene una empresa y los res*menes de
incidentes de seguridad son una fuente para determinar t!e vulnerabilidades asociadas con la infraestructura
II
-.u+l de lo siguiente es '(S probable que indique que un depsito de datos de cliente debe
permanecer en el local en lugar de ser e#tra)do
0outsourced 1 de una operacin e#terior 0offs!ore12
Las leyes de privacidad que pro!)ben el flu$o transfronterio de informacin identificable personalmente
!ar)a imposible ubicar un depsito de datos que contenga informacin de clientes en otro pa)s. Las
diferencias de ona !oraria y los costos m+s elevados de las telecomunicaciones son m+s mane$ables. El
desarrollo de soft8are requiere t)picamente especificaciones m+s detalladas cuando se trata de operaciones
II -.u+l de lo siguiente proveer)a 'E>?& garant)a de la integridad del nuevo personal2
3na investigacin de los antecedentes es el mtodo primario para asegurar la integridad de un
prospectivo miembro del personal. Las referencias son importantes y ser)a necesario verificarlas, pero no
son tan fiables como la investigacin de los antecedentes. La fiana est+ referenciando al cumplimiento de la
debida diligencia, no a la integridad, y las calificaciones7!abilidades indicadas en un rsum7curriculum
II
esperados2
II -.u+l de los controles siguientes buscar)a un auditor en un entorno en el cual las funciones no pueden
ser segregadas de manera apropiada2
Los controles compensatorios son controles internos que pretenden reducir el riesgo de una debilidad de
control e#istente o potencial que puede surgir cuando las funciones no pueden ser segregadas de manera
apropiada. Los controles que se superponen son dos controles que tratan el mismo ob$etivo o e#posicin
de control. .omo los controles primarios no se pueden alcanar cuando las funciones no pueden ser o no
II -.u+l de los siguientes considerar)a un auditor de SI que es '/S importante cuando se eval*a la
II -.u+l de los siguientes es el '(F?& riesgo de la definicin de una pol)tica inadecuada para
II -.u+l de los siguientes es el ob$etivo %&I'(&I? de un proceso de medicin de
del desempe9o7performancia, pero no es el ob$etivo primario de la administracin del desempe9o7performancia.
II -.u+l de los siguientes es '/S cr)tico para la implementacin e#itosa y el mantenimiento de una
pol)tica de seguridad2
La asimilacin de la estructura y la intencin de una pol)tica de seguridad escrita por parte de los usuarios de los
sistemas es cr)tico para la implementacin e#itosa y el mantenimiento de la pol)tica de seguridad. 3no
puede tener un buen sistema de contrase9a, pero si los usuarios del sistema mantienen contrase9as escritas
en su mesa, el sistema de contrase9a tiene poco valor. El soporte y dedicacin de la gerencia es sin duda
II -.u+l de los siguientes es un mecanismo para mitigar los riesgos2
Los riesgos se mitigan implementando pr+cticas apropiadas de seguridad y de control. El seguro es un
mecanismo para transferir el riesgo. La auditor)a y la certificacin son mecanismos de aseguramiento del riesgo, y
los contratos y SL(s son mecanismos de asignacin de riesgo.
II -.u+l de los siguientes es un paso inicial para crear una pol)tica de fire8all2
La identificacin de las aplicaciones requeridas en toda la red debe ser identificada primero. Despus de la
identificacin, dependiendo de la ubicacin f)sica de estas aplicaciones en la red y el modelo de red, la
persona a cargo podr+ entender la necesidad y las posibles formas de controlar el acceso a estas
aplicaciones. Identificar los mtodos para proteger contra las vulnerabilidades identificadas y su an+lisis
II -.u+l de los siguientes es una funcin de un comit de direccin de SI2
de SI y no debe involucrarse en operaciones de rutina, por lo tanto, una de sus funciones es aprobar y monitorear
los principales proyectos, la situacin de los planes y presupuestos de SI. El control de cambio de vendedor es un
aspecto de outsourcing y debe ser monitoreado por la gerencia de SI. (segurar una separacin de funciones
II
-.u+l de los siguientes programas es '/S probable que una pol)tica sana de seguridad de informacin
incluir)a, para mane$ar las intrusiones sospec!osas2
3na pol)tica sana de seguridad de SI es m+s probable que esboce un programa de respuesta para mane$ar
las intrusiones sospec!osas. Los programas de correccin, deteccin y monitoreo son todos aspectos de
seguridad de informacin, pero probablemente no ser+n incluidos en una declaracin de pol)tica de seguridad de
SI.
II -.u+l de los siguientes provee la me$or evidencia de la adecuacin de un programa de conciencia de la
seguridad2
La adecuacin del contenido de conciencia de la seguridad puede evaluarse me$or determinando si el mismo es
revisado y comparado peridicamente con las me$ores pr+cticas de la industria. Las opciones (, , y . proveen
medidas para medir diversos aspectos de un programa de conciencia de la seguridad, pero no ayudan a evaluar el
contenido.
II -.u+l de los siguientes reduce el impacto potencial de los ataques de ingenier)a social2
.omo la ingenier)a social se basa en el enga9o del usuario, la me$or contramedida o defensa es un
programa de conciencia de la seguridad. Las otras opciones no est+n enfocadas al usuario.
II -.u+l de los siguientes ser)a incluido en la pol)tica de seguridad de SI de una organiacin2
La pol)tica de seguridad provee la estructura amplia de la seguridad, como !a sido dispuesta y aprobada por la
alta gerencia. Incluye una definicin de las personas autoriadas para otorgar acceso y la base para otorgarlo. Las
opciones (, , y . est+n m+s detalladas que lo que deber)a incluirse en una pol)tica.
II -.u+l de los siguientes ser)a un control compensatorio para mitigar los riesgos resultantes de una
II
procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada proveedor2
II -5u es lo que un auditor de sistemas considerar)a '/S relevante para la planificacin de corto plao
El departamento de IS debe considerar espec)ficamente la forma en que se asignan los recursos en el corto
plao. Las inversiones en 6I necesitan estar alineadas con las estrategias principales de la administracin, en
lugar de concentrarse en la tecnolog)a por la tecnolog)a en s) misma. Llevar a cabo estudios de auto evaluacin de
control y evaluar las necesidades de !ard8are no es tan cr)tico como asignar los recursos durante la planificacin
II
El auditor de SI deber)a buscar una verificacin independiente que el IS% pueda realiar las tareas que est+n
siendo contratadas. Las referencias de otros clientes proveer)an una revisin y verificacin independiente,
e#terna, de procedimientos y procesos que sigue el IS%Gmdas!4aspectos que ser)an de preocupacin para
el auditor de SI. Eerificar las referencias es un medio de obtener una verificacin independiente de que el
II (l revisar el plan de corto plao 0t+ctico1 de SI, el auditor de SI debe determinar si:
mientras se revisa el plan de corto plao. 3n plan estratgico proveer)a un marco para el plan de corto plao de SI.
Las opciones ,, . y D son +reas cubiertas por un plan estratgico.
II (ntes de implementar un cuadro de mandos o marcador balanceado 0balanced scorecard1 de 6I, una
organiacin debe:
Se requiere una definicin de indicadores clave de desempe9o antes de implementar un cuadro de mandos o
marcador balanceado 0balanced scorecard1 de
6I. Las opciones (, . y D son ob$etivos.
II .omo resultado del gobierno de seguridad de informacin, la alineacin estratgica dispone:
El gobierno de seguridad de informacin, cuando est+ debidamente implementado, debe proveer cuatro
resultados b+sicos. Estos son alineamiento estratgico, entrega de valor, mane$o del riesgo y medida del
desempe9o. La alineacin estratgica provee datos de entrada 0input1 para los requerimientos de seguridad
impulsados por los requerimientos de la empresa. La entrega de valor provee un con$unto est+ndar de pr+cticas de
II
.on respecto al outsourcing de servicios de 6I, -cu+l de las siguientes condiciones deber)a ser de
'(F?& preocupacin para un auditor de
SI2
Las actividades centrales de una organiacin generalmente no deber)an ser sometidas a outsourcing porque
son lo que la organiacin !ace me$or. 3n auditor que observa eso deber)a preocuparse. El auditor no deber)a
preocuparse de las otras condiciones porque la especificacin de renegociacin peridica en el contrato de
outsourcing es una me$or pr+ctica. "o se puede esperar que los contratos de outsourcing cubran toda accin y
II
.u+l de lo siguiente es el 'E>?& criterio de desempe9o para evaluar la adecuacin del entrenamiento
de conocimiento de seguridad de una organiacin 2
La inclusin en descripciones de puestos de traba$o de responsabilidades de seguridad es una forma de
entrenamiento de seguridad y ayuda a asegurar que el personal y la administracin estn en conocimiento de sus
funciones con respecto a la seguridad de informacin. Las otras tres opciones no son criterios para evaluar el
entrenamiento de conocimiento de la seguridad. .onocimiento es un criterio para evaluar la importancia que la
II
.uando efect*a una revisin de la estructura de un sistema de transferencia electrnica de fondos
0E@61, un auditor de SI observa que la infraestructura tecnolgica est+ basada en un esquema
centraliado de procesamiento que !a sido asignado 0outsourced1 a un proveedor en otro pa)s.
,asado en esta informacin, -cu+l de las siguientes conclusiones debe ser la %&I".I%(L preocupacin
En el proceso de transferencia de fondos, cuando el esquema de procesamiento est+ centraliado en un pa)s
diferente, podr)a !aber problemas legales de $urisdiccin que pudieran afectar el derec!o a realiar una
revisin en el otro pa)s. Las otras opciones, aunque posibles, no son tan relevantes como el problema de
$urisdiccin legal.
II
.uando e#iste preocupacin por la segregacin de funciones entre el personal de soporte y los
usuarios finales, -cu+l ser)a un control compensatorio adecuado2
Slo revisar los registros de transacciones y de aplicacin directamente resuelve la amenaa planteada por la
segregacin deficiente de funciones. La revisin es un medio de detector el comportamiento inapropiado y
tambin disuade de uso inapropiado, porque las personas que pueden de otro modo tentarse de e#plotar la
situacin est+n concientes de la probabilidad de ser atrapados. La segregacin inadecuada de funciones es m+s
II .uando revisa el proceso de planeacin estratgica de 6I, un auditor de SI debe asegurarse de que el
plan:
El plan estratgico de 6I debe incluir una clara articulacin de la misin y de la visin de 6I. El plan no
necesita ocuparse de la tecnolog)a, los controles operativos o las pr+cticas de administracin de proyectos.
II .uando se desarrolla un programa de administracin de riesgos, la %&I'E&( actividad que se debe
realiar es:
La identificacin de los activos a ser protegidos es el primer paso en el desarrollo de un programa de
administracin de riesgos. 3n listado de las amenaas que pueden afectar el desempe9o de estos activos y el
an+lisis de criticalidad son pasos posteriores en el proceso. La clasificacin de datos se requiere para definir los
controles de acceso, y en el an+lisis de la criticalidad.
II .uando se !a dise9ado una pol)tica de seguridad de informacin, lo '/S importante es que la pol)tica
%ara ser efectiva, una pol)tica de seguridad de informacin deber)a llegar a todos los miembros del personal.
(lmacenar la pol)tica de seguridad fuera del sitio o en un lugar seguro puede ser aconse$able pero de poco
valor si su contenido no es conocido por los empleados de la organiacin. La pol)tica de seguridad de
informacin deber)a ser escrita por los gerentes de unidad de negocios incluyendo SI, pero no e#clusivamente por
II
Determinar si el plan de SI es consistente con la estrategia de la gerencia relaciona la planificacin de SI76I con los
planes del negocio. Las opciones (, . y D
II .uando un empleado es despedido de su servicio, la accin '/S importante es:
II
.uando una organiacin est+ seleccionando 0outsourcing1 su funcin de seguridad de
informacin, -cu+l de lo siguiente debe ser conservado en la organiacin2
La responsabilidad no puede ser transferida a terceros a$enos. Las opciones ,, . y D pueden ser
efectuadas por entidades e#ternas mientras la responsabilidad contin*e dentro de la organiacin.
II Dar responsabilidad a las unidades del negocio sobre el desarrollo de aplicaciones conducir+ '3F
probablemente a:
(l desarrollar aplicaciones en las unidades de negocio, los usuarios a!ora a cargo de las aplicaciones podr)an
evadir los controles. Las opciones (, . y D no est+n relacionadas con, ni puede asumirse que resulten de, mover
las funciones de SI a las unidades de negocio4 de !ec!o, en algunos casos, se puede asumir lo opuesto. %or
e$emplo, como las personas de la unidad de negocio no tienen e#periencia en desarrollar aplicaciones, es
II
De las funciones siguientes, -cu+l es la funcin '/S importante que debe realiar la administracin de
6I cuando se !a dado un servicio para realiarse por outsourcing2
II De lo siguiente, el elemento '/S importante para la implementacin e#itosa del gobierno de 6I es:
El ob$etivo clave de un programa de gobierno de 6I es dar soporte al negocio4 de ese modo, es necesaria la
identificacin de estrategias organiacionales para asegurar la alineacin entre 6I y el gobierno
corporativo. Sin identificacin de estrategias organiacionales, las opciones restantes, a*n si fueran
implementadas, ser)an inefectivas.
II Desde una perspectiva de control, el elemento clave en las descripciones de traba$os es que:
Desde una perspectiva de control, la descripcin de un traba$o debe establecer responsabilidad y deber de
reportar7imputabilidad 0accountability1. Esto ayudar+ a asegurar que se d a los usuarios acceso al sistema en
conformidad con las responsabilidades definidas de su traba$o.Las otras opciones no est+n directamente
relacionadas con los controles. %roveer instrucciones sobre cmo !acer el traba$o y definir la autoridad,
II
Durante el curso de una auditor)a, un auditor de SI observa que las funciones no est+n
debidamente segregadas. En una circunstancia seme$ante, el (uditor de SI deber)a buscar:
.ontroles compensatorios son controles que pretenden reducir el riesgo de una debilidad de control e#istente o
potencial cuando las funciones no pueden ser correctamente segregadas. Los controles traslapados se
complementan entre s) y complementan los controles e#istentes pero no resuelven los riesgos asociados
con una segregacin inadecuada de las funciones y no pueden ser usados en situaciones donde las funciones no
II
El cuadro de mandos o marcador balanceado 0balanced scorecard1 de 6I es una !erramienta de
gobierno del negocio que est+ destinada a monitorear los indicadores de evaluacin del desempe9o
0performance1 de 6I aparte de:
Los resultados financieros !an sido tradicionalmente la *nica medida general de desempe9o. El cuadro de
mandos o marcador balanceado de 6I 0,S.1 es una !erramienta de gobierno del negocio de 6I dirigida a
monitorear los indicadores de evaluacin del desempe9o de 6I adem+s de los resultados financieros. El
,S. de 6I considera otros factores clave de #ito, tales como la satisfaccin del cliente, la capacidad de
II El desarrollo de una pol)tica de seguridad de SI es resposabilidad de:
II El efecto '/S probable de la falta de participacin de la alta gerencia en la planeacin estratgica de
6I es:
II El gobierno de 6I es %&I'(&I('E"6E responsabilidad del:
El gobierno de 6I es primariamente responsabilidad de los e$ecutivos y de los accionistas 0representados
por la $unta directiva Mboard of directors.U1 El director general es instrumental para implementar el gobierno
de 6I en conformidad con las instrucciones de la $unta directiva. El comit de seguimiento de 6I monitorea y
facilita el despliegue de los recursos de 6I para proyectos espec)ficos en soporte de los planes de negocio. El
II El gobierno efectivo de 6I asegurar+ que el plan de 6I sea consistente con el:
%ara gobernar 6I eficamente, 6I y el negocio deben moverse en la misma direccin, requiriendo que los
planes de 6I estn alineados con los planes de negocio de una organiacin. Los planes de auditor)a y de
inversin no forman parte del plan de 6I y el plan de seguridad debe ser al nivel corporativo.
II El ob$etivo %&I'(&I? de una auditor)a de las pol)ticas de seguridad de 6I es asegurar que:
La orientacin del negocio debe ser el tema principal al implementar la seguridad. %or ello, una auditor)a
de las pol)ticas de seguridad de 6I debe primordialmente concentrarse en si las pol)ticas de seguridad y
control de 6I y relacionadas respaldan los ob$etivos del negocio y de 6I. &evisar si las pol)ticas est+n
disponibles para todos es un ob$etivo, pero la distribucin no asegura el cumplimiento. La disponibilidad de
II El paso inicial para establecer un programa de seguridad de informacin es:
II El resultado 0output1 del proceso de administracin de riesgos es un input para !acer:
El proceso de administracin del riesgo trata sobre la toma de decisiones relacionadas con seguridad
espec)fica, tal como el nivel de riesgo aceptable. Las opciones (, , y D no son las metas en *ltima instancia del
proceso de administracin del riesgo.
II En una organiacin donde se !a definido una l)nea base 0baseline1 de seguridad de 6I el auditor de SI
debe %&I'E&? asegurar:
adicionales.
II
En una organiacin, las responsabilidades de seguridad de 6I est+n claramente asignadas y
e$ecutadas y se efect*a de manera consistente un an+lisis del riesgo de la seguridad de 6I y del
impacto. -5u nivel de clasificacin representa esto en el modelo de madure de gobierno de
seguridad de informacin2
Las $untas directivas y la gerencia e$ecutiva pueden usar el modelo de madure de gobierno de seguridad de
informacin para establecer clasificaciones para la seguridad en sus organiaciones. Los rangos son ine#istentes,
iniciales, repetibles, definidos, mane$ados y optimiados. .uando las responsabilidades de la seguridad de 6I
est+n claramente asignadas y e$ecutadas y se realia de manera consistente un an+lisis del riesgo y del impacto
II Establecer el nivel de riesgo aceptable es responsabilidad de:
La alta gerencia deber)a establecer el nivel de riesgo aceptable, ya que ellos son los responsables en *ltima
instancia o los responsables finales de la operacin efectiva y eficiente de la organiacin. Las opciones (, . y D
deber)an actuar como asesores de la alta gerencia para determinar un nivel aceptable de riesgo.
II
La administracin de una organiacin !a decidido establecer un programa de conocimiento de la
seguridad. -.u+l de los siguientes es '/S
probable que sea parte del programa2
3tiliar un sistema de deteccin de intrusos para reportar sobre los incidentes que ocurren es una
implementacin de un programa de seguridad y no es efectivo para establecer un programa de conocimiento
de la seguridad. Las opciones , y . no resuelven el conocimiento. El entrenamiento es la *nica opcin que est+
dirigida al conocimiento de la seguridad.
II La evaluacin de los riesgos de 6I se logra 'E>?&:
%ara analiar los riesgos de 6I, es necesario evaluar las amenaas y vulnerabilidades usando mtodos cualitativos
o cuantitativos de evaluacin del riesgo. Las opciones ,, . y D son potencialmente insumos *tiles para el
proceso de evaluacin del riesgo, pero por s) mismas no son suficientes. ,asar una evaluacin en las prdidas
pasadas no refle$ar+ de manera adecuada los cambios inevitables a los activos, proyectos, controles de 6I
y al entorno estratgico de la empresa. %robablemente tambin !ay problemas con el alcance y la calidad
de los datos de prdida disponibles a ser evaluados. Las organiaciones comparables tendr+n diferencias
en sus activos de 6I, entorno de control y circunstancias estratgicas. De a!) que su e#periencia de prdida
0good8ill 1 para la organiacin. 3na definicin sucinta del riesgo es suministrada por las Directivas para la
II
La funcin de establecimiento del libro mayor7mayor general 0general ledger1 en un paquete
empresarial 0E&%1 permite fi$ar per)odos contables. El acceso a esta funcin !a sido permitido a los
usuarios en finanas, almacn e ingreso de rdenes. La ran '/S probable para dic!o amplio
acceso es:
requerimiento de registrar las entradas por un per)odo contable cerrado es un riesgo. Si fuera necesario, esto
II La participacin de la alta gerencia es '/S importante en el desarrollo de:
II La velocidad de cambio de la tecnolog)a aumenta la importancia de:
II La venta$a de un mtodo de aba$o !acia arriba para el desarrollo de pol)ticas organiativas es que las
pol)ticas:
son venta$as de un mtodo de arriba !acia aba$o para desarrollar pol)ticas organiativas. Este mtodo asegura que
II Los ob$etivos de control de 6I son *tiles para los auditores de SI, ya que ellos proveen la base para
entender:
II Los riesgos asociados con recopilar evidencia electrnica es '/S probable que se reducan, en el
caso de un eCmail, por una:
.on una pol)tica de registros de eCmail bien arc!ivados, es posible el acceso a o la recuperacin de registros de eC
mails espec)ficos, sin revelar otros registros de eCmail confidenciales. Las pol)ticas de seguridad y7o pol)ticas
de auditor)a no resolver)an la eficiencia de recuperacin de registros, y destruir eCmails puede ser un acto
ilegal.
II
'ientras realia una auditor)a de un proveedor de servicio, el (uditor de SI observa que el proveedor
de servicio !a sometido a outsourcing una parte del traba$o a otro proveedor. .omo el traba$o implica
el uso de informacin confidencial, la preocupacin %&I'(&I( del (uditor de SI debe ser que:
'uc!os pa)ses !an establecido reglamentaciones para proteger la confidencialidad de informacin que se
mantiene en sus pa)ses y7o que es intercambiada con otros pa)ses. Donde el proveedor de servicio !a sometido a
outsourcing una parte de sus servicios a otro proveedor de servicios, !ay un riesgo potencial de que la
confidencialidad de la informacin quede comprometida. Las opciones , y . podr)an ser preocupaciones pero
II 'uc!as organiaciones requieren que todos los empleados toman una vacacin obligatoria de una
semana o m+s para:
regular realice la funcin del puesto de traba$o es a menudo obligatoria para las posiciones importantes. Esto
reduce la oportunidad de cometer actos indebidos o ilegales, y durante este tiempo puede ser posible
descubrir cualquier actividad fraudulenta que estuviera ocurriendo. Las opciones (, . y D todas podr)an
II %ara asegurar que una organiacin est+ cumpliendo con los requerimientos de privacidad, el auditor
II %ara asistir a una organiacin en la planeacin de las inversiones de 6I, el (uditor de SI deber)a
recomendar el uso de:
La arquitectura de empresa 0E(1 implica documentar los activos y procesos de 6I de la organiacin en una
forma estructurada para facilitar la comprensin, administrar y planear las inversiones de 6I. Ello implica
tanto un estado corriente como una representacin de un futuro estado optimiado. (l tratar de completar
una E(, las organiaciones pueden resolver el problema ya sea desde una perspectiva de tecnolog)a o
II %ara ayudar a la administracin a alcanar la alineacin entre 6I y el negocio, un auditor de SI deber)a
recomendar el uso de:
3n scorecard balanceado de 6I provee el puente entre los ob$etivos de 6I y los ob$etivos del negocio
suplementando la evaluacin financiera tradicional con medidas para evaluar la satisfaccin del cliente, los
procesos internos y la capacidad de innovar. La autoevaluacin del control, el an+lisis del impacto sobre el
negocio y la reingenier)a del proceso de negocio son insuficientes para alinear a 6I con los ob$etivos
II
%ara lograr entender la efectividad de la planeacin y la administracin de inversiones en activos de 6I
de una organiacin, un auditor de SI
deber)a revisar:
6!e scorecard balanceado de 6I es una !erramienta que provee el puente entre los ob$etivos de 6I y los ob$etivos
del negocio complementando la evaluacin financiera tradicional con medidas para evaluar la satisfaccin del
cliente, los procesos internos y la capacidad de innovar. 3n modelo de datos de empresa es un documento que
define la estructura de datos de una organiacin y la forma en que se interrelacionan los datos. Es *til pero no
provee informacin sobre las inversiones. La estructura organiativa de 6I provee una visin general de las
II %ara minimiar los costos y me$orar los niveles de servicio, -un outsourcer debe buscar cu+l de las
siguientes cl+usulas de contrato2
.omo el outsourcer compartir+ un porcenta$e de los a!orros logrados, las bonificaciones por cumplimiento en
compartir las ganancias proveen un incentive financiero para ir para superar los trminos establecidos del
contrato y pueden conducir a a!orros en los costos para el cliente. Las frecuencias de las actualiaciones y
las penaliaciones por incumplimiento slo estimular)an al outsourcer a que cumpla con los requerimientos
II
%ara resolver el riesgo de falta del personal de operaciones para efectuar la copia de respaldo
diaria, la administracin requiere que el administrador de sistemas firme la salida en la copia de
respaldo diaria. Este es un e$emplo de riesgo:
'itigacin es la estrategia que dispone la definicin e implementacin de los controles para resolver el
riesgo descrito. %revencin es una estrategia que dispone no implementar ciertas actividades o procesos que
incurrir)an en mayor riesgo. 6ransferencia es la estrategia que dispone compartir el riesgo con socios o
tomar cobertura de seguro. (ceptacin es una estrategia que dispone el reconocimiento formal de la e#istencia
II %ara soportar las metas de una organiacin, el departamento de SI debe tener:
alcanar)a cada uno de los ob$etivos. La opcin D podr)a ser parte del plan general pero se requerir)a solamente
II 3n administrador de base de datos est+ realiando las siguientes actividades, -cu+l de stas deber)a ser
realiada por una persona diferente2
.omo los registros de actividad de la base de datos registran actividades realiadas por el administrador
de la base de datos, su eliminacin deber)a ser efectuada por una persona que no sea el administrador de
la base de datos. Este es un control compensatorio para ayudar a asegurar que una segregacin apropiada de
las funciones est asociada con la funcin del administrador de la base de datos. 3n administrador de base
II 3n administrador de L(" estar)a normalmente restringido de:
II 3n auditor de SI deber)a preocuparse cuando un analista de telecomunicacin:
II
II
3n auditor de SI fue contratado para revisar la seguridad de un negocio electrnico 0eC
business1. La primera tarea del auditor de SI fue e#aminar cada aplicacin e#istente de eCbusiness
en busca de vulnerabilidades. -.u+l ser)a la siguiente tarea2
El auditor de SI debe identificar los activos, buscar vulnerabilidades, y luego identificar las amenaas y la
probabilidad de que ocurran. Las opciones (, , y D deber)an ser discutidas con el director de sistemas 0.!ief
Information ?fficerC.I?1 y se deber)a entregar un reporte al director general 0.!ief E#ecutive ?fficerC .E?.1
El reporte deber)a incluir los !allagos $unto con las prioridades y los costos.
II
clasificaciones del personal y las pol)ticas de compensaciones $ustas puede ser una problema moral, no un
II 3n auditor de SI que revisa el plan estratgico de 6I de una organiacin deber)a %&I'E&? revisar:
II 3n auditor de SI que revisa un contrato de outsourcing de las instalaciones de 6I esperar)a que ste
defina:
espec)fica. De manera similar, la metodolog)a de desarrollo no deber)a de real preocupacin. El contrato debe,
sin embargo, especificar quin es el due9o de la propiedad intelectual 0i.e., la informacin que est+ siendo
II 3n auditor de SI que revisa una organiacin que usa pr+cticas de entrenamiento cruado debe evaluar
el riesgo de:
El entrenamiento cruado es un proceso de entrenar m+s de una persona para que realice un traba$o o
procedimiento espec)fico. Esta pr+ctica ayuda a reducir la dependencia de una sola persona y asiste en la
planeacin de la sucesin. Esto provee el respaldo de personal en el caso de una ausencia y, de ese modo,
provee la continuidad de las operaciones. Sin embargo, al usar este mtodo, es prudente !acer evaluar
II
3n auditor !a sido asignado para revisar las estructuras de 6I y las actividades recientemente
seleccionadas 0outsourced1 para diversos proveedores. -.u+l de lo siguiente deber)a el (uditor de SI
determinar %&I'E&?2
La comple$idad de las estructuras de 6I igualada por la comple$idad y entre$uego de responsabilidades y
garant)as puede afectar o invalidar la efectividad de esas garant)as y la certea raonable de que las necesidades
del negocio ser+n cubiertas. 6odas las otras opciones son importantes, pero no tan potencialmente peligrosas
como el entre$uego de las +reas diversas y cr)ticas de responsabilidad contractual de los outsourcers.
II 3n comit de direccin de SI debe:
II 3n comit de seguimiento de 6I revisar)a los sistemas de informacin %&I'(&I('E"6E para
determinar:
la estabilidad del soft8are como la comple$idad de la tecnolog)a, son aspectos demasiado estrec!os en su
II 3n e$emplo de un beneficio directo a derivarse de una propuesta inversin de negocio relacionada con
6I es:
3n caso comprensivo de negocio para cualquier inversin de negocio propuesta relacionada con 6I deber)a
tener beneficios de negocio claramente definidos para permitir el c+lculo de los beneficios. Estos beneficios por
lo general caen en dos categor)as: directos e indirectos o suaves. Los beneficios directos por lo general
comprenden los beneficios financieros cuantificables que se espera que el nuevo sistema genere. Los beneficios
II
3n empleado de SI de largo plao que cuenta con un antecedente tcnico fuerte y con amplia
e#periencia gerencial !a aplicado para una posicin vacante en el departamento de auditor)a de
SI. La determinacin de si se debe contratar a esta persona para esta posicin deber)a basarse en
la e#periencia de la persona y en:
no puede por s) mismo asegurar la credibilidad. Las necesidades del departamento de auditor)a deber)an
II
3n equipo que lleva a cabo un an+lisis de riesgo est+ teniendo dificultad para proyectar las prdidas
financieras que podr)an resultar de riesgo. %ara evaluar las prdidas potenciales el equipo deber)a:
La pr+ctica com*n, cuando es dif)cil calcular las prdidas financieras, es tomar un enfoque cualitativo, en el
que el gerente afectado por el riesgo define la prdida financiera en trminos de un factor ponderado 0e.g., ; es
un impacto muy ba$o para el negocio y < es un impacto muy alto1. 3n &?I es computado cuando !ay a!orros o
ingresos predecibles, que pueden ser comparados con la inversin que se necesita para realiar los ingresos. La
amortiacin se usa en un estado de ganancias y prdidas, no para computar las prdidas potenciales. Emplear
II 3n gobierno efectivo de 6I requiere estructuras y procesos organiacionales para asegurar que:
3n gobierno efectivo de 6I requiere que la $unta y la gerencia e$ecutiva e#tiendan el gobierno a 6I y
provean el liderago, las estructuras y procesos organiacionales que aseguren que la 6I de la organiacin
sostiene y e#tiende las estrategias y ob$etivos de la organiacin y que la estrategia est+ en armon)a con la
estrategia del negocio. La opcin ( es incorrecta porque es la estrategia de 6I la que e#tiende los
II 3n mtodo de arriba aba$o para el desarrollo de las pol)ticas operacionales ayudar+ a asegurar:
Derivar pol)ticas de nivel inferior de las pol)ticas corporativas 0un mtodo de arriba aba$o1 ayuda a
asegurar consistencia en toda la organiacin y consistencia con otras pol)ticas. El mtodo de aba$o arriba
para el desarrollo de las pol)ticas operativas se deriva como resultado de la evaluacin del riesgo. 3n mtodo de
arriba aba$o por s) mismo no asegura que las pol)ticas sean revisadas.
II 3na opcin deficiente de contrase9as y transmisin a travs de l)neas de comunicacin no protegidas
son e$emplos de:
Las vulnerabilidades representan caracter)sticas de recursos de informacin que pueden ser e#plotados por
una amenaa. Las amenaas son circunstancias o eventos con el potencial de causar da9o a los recursos de
informacin, las probabilidades representan la probabilidad de que ocurra una amenaa y los impactos
representan el efecto o resultado de una amenaa que e#plota una vulnerabilidad.
II
II
3na organiacin que adquiri otros negocios contin*a utiliando sus sistemas !eredados de EDI, y
usa tres proveedores separados de red de valor agregado 0E("1. "o e#iste ning*n acuerdo escrito
para la E(". El auditor de SI debe recomendar a la gerencia que:
'ientras que la gerencia debe obtener garant)a independiente de cumplimiento, ello no se puede lograr !asta
que e#ista un contrato. 3n aspecto de administrar servicios de terceros es proveer monitoreo, sin embargo,
esto no se puede lograr !asta que e#ista un contrato. (segurar que se disponga de acuerdos de E(" para
II
Gldquo4documentoGrdquo4 !ace de la retencin de correspondencia electrnica una necesidad. 6odo el correo
electrnico generado en el !ard8are de una organiacin es propiedad de la organiacin y una pol)tica de
correo electrnico debe resolver la retencin de mensa$es, considerando tanto los litigios conocidos como los
impredecibles. La pol)tica deber)a tambin ocuparse de la destruccin de correos electrnicos despus de un
tiempo especificado para proteger la naturalea y la confidencialidad de los mensa$es mismos. .onsiderar el tema
de la retencin en la pol)tica de correo electrnico facilitar)a la recuperacin, reconstruccin y reutiliacin.
II 3na probable venta$a para una organiacin que !a efectuado outsourcing a su procesamiento de
totalidad del procesamiento de informacin a una parte e#terna. Esto se !ace con frecuencia para adquirir recursos
o e#periencia adicionales que no se obtiene desde el interior de la organiacin.
0good8ill 1 para la organiacin. 3na definicin suscinta del riesgo es suministrada por las Directivas para la
:erencia de Seguridad de 6I publicadas por la ?rganiacin Internacional para la Estandariacin 0IS?1,
que define el riesgo como el =potencial de que una cierta amenaa se aprovec!e de la vulnerabilidad de
un activo o de un grupo de activos para causar prdida o da9o a los activos.= Los diversos elementos de la
definicin son vulnerabilidad, amenaa, activo e impacto. La falta de una funcionalidad adecuada de seguridad en
este conte#to es una vulnerabilidad.

Preguntas Modulo I y II

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Preguntas Modulo I y II

Cargado por

Copyright:

Formatos disponibles

Pregunta Reespuesta adecuada

I Despus de la investigacin inicial, un auditor de SI

También podría gustarte