Está en la página 1de 74

Pregunta

Reespuesta adecuada

Las responsabilidades de un auditor de SI de detectar el fraude incluye evaluar los indicadores de fraude y decidir si es necesaria alguna accin Despus de la investigacin inicial, un auditor de SI tiene motivos para creer que puede estar en presencia adicional o si se debe recomendar una investigacin. El auditor de SI debe notificar a las autoridades apropiadas dentro de la organizacin solamente si ha determinado que los indicadores de fraude son suficientes para recomendar una investigacin. Normalmente, el auditor de SI de fraude. El auditor de SI debe: no tiene autoridad para consultar con un asesor legal externo. El uso de tcnicas continuas de auditora puede en realidad mejorar la seguridad del sistema cuando se usa en entornos que comparten el tiempo que procesan un gran nmero de transacciones, pero dejan muy pocas pistas de papel. La opcin A es incorrecta ya que el enfoque de auditora continua a menudo requiere que un auditor de SI recolecte evidencia sobre la confiabilidad del sistema mientras est llevando a cabo el procesamiento. La opcin B es incorrecta ya que un auditor de SI normalmente revisara y dara seguimiento slo a las deficiencias materiales o errores detectados. La opcin D es incorrecta ya que el uso de tcnicas de auditora continua depende efectivamente de la complejidad de los sistemas de computadora de una organizacin. Debido a que el objetivo es identificar violaciones a la segregacin de funciones, es necesario definir la lgica que identificar los conflictos en la autorizacin. Se podra desarrollar un programa para identificar estos conflictos. Un informe de derechos de seguridad en el sistema de planificacin de los recursos de la empresa (ERP) sera voluminoso y requerira mucho tiempo para su revisin; por lo tanto, esta tcnica no es tan efectiva como la creacin de un programa. A medida que las complejidades aumentan, se vuelve ms difcil verificar la efectividad de los sistemas, y la complejidad no est vinculada por s sola a la segregacin de funciones. Es buena prctica revisar los casos recientes de violacin de derechos; sin embargo, pudiera requerir una cantidad de tiempo significativa el verdaderamente identificar cules violaciones resultaron realmente de una segregacin inapropiada de funciones. El estatuto de auditora de SI establece el rol de la funcin de auditora de sistemas de informacin. El estatuto debera describir la autoridad general, el alcance y las responsabilidades de la funcin de auditora. Debera ser aprobado por el ms alto nivel de gestin y, de estar disponible, por el comit de auditora. La planificacin de corto y largo plazo es responsabilidad de la gestin de auditora. Los objetivos y el alcance de cada auditora de SI deberan acordarse en una carta de compromiso. La gestin de auditora debera desarrollar un plan de entrenamiento, basado en el plan de auditora.

La ventaja PRIMARIA de un enfoque continuo de auditora es que:

Cul de las opciones siguientes es la tcnica de auditora MS efectiva para identificar violaciones a la segregacin de funciones en una nueva implementacin de un sistema de planificacin de recursos de empresa (ERP)?

El estatuto de auditora de SI de una organizacin debera especificar:

Los estndares de auditora requieren que un auditor de SI recopile evidencia de auditora suficiente y apropiada. El auditor descubri un Un auditor de SI est realizando una auditora a un problema potencial y ahora necesita determinar si se trata de un incidente aislado o una falla sistemtica de control. En este punto es demasiado servidor de copias de respaldo administrado desde pronto para emitir un hallazgo de auditora; la accin de solicitar una explicacin a la gerencia es aconsejable, pero sera mejor recopilar una ubicacin remota. El auditor de SI revisa los logs evidencia adicional para evaluar apropiadamente la seriedad de la situacin. Una falla de respaldo, que no se ha establecido en este punto, de un da y descubre un caso en el cual el inicio de es seria si involucra datos crticos. Sin embargo, el asunto no es la importancia de los datos presentes en el servidor donde se detect un sesin en un servidor fall con el resultado de que problema, sino la posibilidad de que exista una falla sistemtica de control que tenga un impacto en otros servidores. no se pudo confirmar los reinicios de la copia de respaldo. Qu debera hacer el auditor?

Un Contrato de auditora debera:

Un contrato de auditora debera establecer los objetivos de la gerencia para, y la delegacin de autoridad a la auditora de SI. Este contrato no debera cambiar de manera significativa con l tiempo y debera ser aprobado al nivel ms alto de la gerencia. El contrato de auditora no estara a un nivel de detalle y por lo tanto no incluira objetivos o procedimientos especficos de auditora. Un organigrama provee informacin sobre las responsabilidades y la autoridad de personas en la organizacin. Esto ayuda al auditor de SI a saber si hay una segregacin apropiada de funciones. Un diagrama de flujo de trabajo proporcionara informacin sobre las funciones de diferentes empleados. Un diagrama de red proveer informacin sobre el uso de diversos canales de comunicacin e indicar la conexin de los usuarios a la red.

Un auditor de SI revisa un organigrama PRIMARIAMENTE para:

En una auditora de SI de varios servidores crticos, elLas herramientas de deteccin de tendencias /varianzas buscan anomalas en el comportamiento de usuarios o del sistema, por ejemplo, determinando para los documentos prenumerados si los nmeros son secuenciales o incrementales. Las herramientas CASE se usan para auditor quiere analizar las pistas de auditora para asistir en el desarrollo de software. El software integrado de recoleccin de datos (auditora) se usa para tomar muestras y para proveer descubrir potenciales anomalas en el comportamiento de usuarios o del sistema. Cul de estadsticas de produccin. Las herramientas heursticas de escaneo se pueden usar para escanear en busca de virus para indicar cdigos las herramientas siguientes es la MS adecuada para posiblemente infectados. realizar esa tarea?

Cuando un auditor Un auditor de SI emite un reporte de auditora sealando la falta de funciones de proteccin de firewall en el la gateway perimetral de red y recomienda un producto de vendedor para resolver esta vulnerabilidad. El auditor de SI no hacomprometen organizacional no ejercido: reporte de auditora Un auditor de SI que realiza una revisin de los controles de aplicacin evaluara:

de SI recomienda un vendedor especfico, ellos independencia profesional. La independencia tiene relevancia con respecto al contenido de un y debe ser considerado en el momento de aceptar el

Un control de revisin de aplicaciones implica la evaluacin de los controles automatizados de la aplicacin y una evaluacin de cualesquiera exposiciones resultantes de las debilidades del control. Las otras opciones pueden ser objetivos de una auditora de El Lineamiento de Auditora de SI G15 de ISACA sobre planificar los estados de auditora de SI, "Se debe hacer una evaluacin del riesgo para proveer aseguramiento razonable de que los puntos materiales sern cubiertos de manera adecuada durante el trabajo de auditora. Esta Dada una tasa esperada estadstico es un mtodo de SI a determinar el probabilidad de error de error y nivel de confianza, el muestreo objetivo de muestreo, que ayuda a un auditor tamao de la muestra y a cuantificar la (coeficiente de confianza). La opcin B es

Mientras se planifica una auditora, se debe hacer una evaluacin del riesgo para proveer:

Un auditor de SI debe usar muestreo estadstico, y no muestreo de opiniones (no estadstico) cuando:

Un auditor de SI ha importado datos de la base de datos del cliente. El paso siguiente para confirmar si los datos importados estn completos se lleva a cabo:

Comparar los totales de control de los datos importados con los totales de control de los datos originales es el siguiente paso lgico, ya que esto confirma la integridad de los datos importados. No es posible confirmar la totalidad (completeness) clasificando los datos importados, porque los

Mientras lleva a cabo una auditora, un auditor de SI detecta la presencia de un virus. Cul debe ser el paso siguiente del La primera cosa que un auditor de SI debe hacer despus de detectar el virus es alertar a la organizacin sobre su presencia, luego esperar su auditor de SI? respuesta. La opcin A debe ser emprendida despus de la opcin C. Esto permitir al auditor de SI examinar el funcionamiento real y la Durante la recoleccin de evidencia forense, cul de las acciones siguientes tiene MS posibilidades de causar la destruccin o corrupcin de evidencia en un sistema comprometido? Reiniciar el sistema puede causar un cambio en el estado del sistema y la prdida de archivos y evidencia importante almacenados en la memoria. Las otras opciones son acciones apropiadas para preservar la evidencia. El objetivo de la autoevaluacin de control es inducir a la gerencia del negocio a estar ms consciente de la importancia del control interno y de su responsabilidad en trminos del gobierno corporativo. La reduccin de los gastos de auditora no es un beneficio clave de La evidencia obtenida de fuentes externas es por lo general ms confiable que la obtenida desde dentro de la organizacin. Las cartas de confirmacin recibidas desde el exterior, como por ejemplo las usadas para verificar los balances de cuentas por cobrar, son por lo general

Cul de las opciones siguientes es el beneficio clave de la autoevaluacin de control (CSA)?

Cul de las siguientes formas de evidencia para el auditor se considerara la MS confiable?

Los diagramas de flujo de datos son usados por los Los diagramas de flujo de datos se usan como ayudas para graficar o diagramar el flujo y almacenamiento de datos, con ellos se rastrean los datos desde su origen hasta su destino, resaltando las rutas y el almacenamiento de los datos. Los diagramas de flujo no ordenan los datos en ningn orden jerrquico. El flujo de los Auditores de SI para: datos no coincidir necesariamente con ningn orden jerrquico o de generacin de datos. En una auditora de una aplicacin de inventario , Para determinar la validez de una orden de compra, probar los controles de acceso proveer la mejor evidencia. Las opciones B y C se basan en enfoques qu enfoque proveera la MEJOR evidencia de que posteriores a los hechos, mientras que la opcin D no sirve el propsito porque lo que est en la documentacin de sistema puede no ser lo mismo que lo las rdenes de compra son vlidas? que est ocurriendo. El muestreo de atributos es el mtodo primario de muestreo que se usa para comprobar el cumplimiento. El muestreo de atributos es un modelo de muestreo que se usa para estimar la tasa de ocurrencia de una calidad especifica (atributo) en una poblacin y se usa en la comprobacin de cumplimiento para confirmar si esta calidad existe o no. Las otras elecciones se usan en comprobaciones substantivas que involucran la comprobacin de detalles o cantidad.
Observando el personal de SI cuando realiza sus tareas, el auditor de SI puede identificar si ellos estn realizando operaciones no compatibles y entrevistando el personal de SI el auditor puede obtener un panorama general de las tareas realizadas. Basado en las observaciones y entrevistas, el auditor puede evaluar la segregacin de funciones. La gerencia no puede estar en conocimiento de las funciones detalladas de cada empleado en el departamento de SI, por lo tanto, la discusin con la gerencia proveera solo informacin limitada respecto a la segregacin de funciones. Un organigrama no proveera detalles de las funciones de los empleados y la prueba de los derechos de usuario proveera informacin sobre los derechos que ellos tienen dentro de los sistemas de SI, pero no

Cul de los siguientes mtodos de muestreo es el MS til cuando se pone a prueba su cumplimiento?

Qu tcnica de auditora provee la MEJOR evidencia de la segregacin de funciones en un departamento de SI?

Las decisiones y las acciones de un auditor es MS probable que afecten a cul de los riesgos siguientes?

Un riesgo de deteccin est directamente afectado por la seleccin, por parte del auditor, de los procedimientos y tcnicas de auditora. Los riesgos inherentes por lo general no estn afectados por el auditor de SI. Un riesgo de control es controlado por las acciones de la gerencia de la compaa. Los riesgos financieros no estn afectados por el auditor de SI. Incluir el hallazgo en el reporte final es una prctica de auditora generalmente aceptada. Si se emprende una accin despus de que comenz la auditora y antes de que terminara, el reporte de auditora debe identificar el hallazgo y describir la accin correctiva tomada. Un reporte de auditora debe reflejar la situacin, tal como sta exista en el comienzo de la auditora. Todas las acciones correctivas emprendidas por el auditado deben ser reportadas por escrito.

Una accin correctiva ha sido tomada por un auditado inmediatamente despus de la identificacin de un hallazgo que debera ser reportado. El auditor debe:

Durante una auditora de control de cambios deUn proceso de gestin de cambios es crtico para los sistemas de produccin de TI.Antes de recomendar que la organizacin tome alguna otra accin (por un sistema en produccin, un auditor de SIejemplo, interrumpir las migraciones, redisear el proceso de gestin de cambios), el auditor de SI debera obtener garanta de que los incidentes reportados se descubre que el proceso de administracin derelacionan con deficiencias en el proceso de gestin de cambios y que no fueron causados por algn proceso diferente a la gestin de cambios. cambios no est documentado formalmente y Cul de las siguientes opciones sera normalmente La evidencia obtenida de terceros independientes casi siempre es considerada la ms confiable. Las respuestas B, C y D no serian consideradas confiables. la evidencia MS confiable para un auditor?

El propsito PRIMARIO de una auditora forense de TI es:

La opcin B describe una auditora forense. La evidencia recolectada podra utilizarse posteriormente en procesos judiciales. Las auditoras forenses no se limitan a fraude corporativo. Evaluar la exactitus de los estados financieros de una organizacin no es el propsito de una auditora forense. Llegar a la conclusin de que se registr un delito sera parte de un proceso legal y no el objetivo de una auditora forense.

El aprovechamiento de un ID y contrasea de usuario conocidos requiere mnimos conocimientos tcnicos y expone los Un auditor de SI est evaluando una red corporativa en busca de una posible recursos de la red a la explotacin penetracin por parte de empleados internos. Cul de los hallazgos siguientes (maliciosa ). La barrera tcnica es baja y el impacto puede ser muy elevado; por lo tanto, el hecho de que muchos IDs de usuario debera preocupar MS al auditor de SI? tengan contraseas idnticas representa la mayor amenaza. Los mdems externos representan un riesgo de seguridad, pero la explotacin o aprovechamiento an depende del uso de una cuenta vlida de usuario. Mientras que el impacto de los Un auditor de SI que particip en el diseo del plan de continuidad del negocio (BCP) de una empresa, ha sido asignado para auditar el plan. El auditor de SI debera: Comunicar la posibilidad de conflicto de inters a la gerencia antes de comenzar la asignacin es la respuesta correcta. Se debera comunicar un posible conflicto de inters, que pudiera afectar la independencia del auditor, a la gerencia antes de comenzar la asignacin. Rechazar la asignacin no es la respuesta correcta, porque se podra aceptar la asignacin despus de obtener la aprobacin de la gerencia. Informar a la gerencia sobre el posible conflicto de inters despus de completar la

Mientras revisaba los papeles de trabajo electrnico sensitivos, el auditor de SI La encripcin prueba la confidencialidad de los papeles de trabajo electrnicos. Las pistas de auditora, las aprobaciones de la not que los mismos no estaban encriptados. Esto podra comprometer: etapa de auditora y el acceso a los papeles de trabajo, por s mismos, no afectan la confidencialidad sino que forman parte del motivo para requerir la encripcin.

La razn PRIMARIA por la que un auditor de SI realiza un recorrido funcional durante la fase preliminar de una asignacin de auditora es:

Entender el proceso de negocio es el primer paso que un auditor de SI necesita realizar. Las normas no requieren que un auditor de SI efecte un recorrido de proceso. Identificar las debilidades de control no es la razn primaria para el recorrido y tpicamente ocurre en una etapa posterior en la auditora. Planear pruebas sustantivas se realiza en una etapa posterior de la auditora. Cuando se disea un plan de auditora, es importante identificar las reas de ms alto riesgo para determinar las reas a ser auditadas. Los conjuntos de habilidades del personal de auditora deberan haberse considerado antes de decidir y de escoger la auditora. Los pasos de prueba para la auditora no son tan crticos como identificar las reas de riesgo, y el tiempo asignado para una auditora est determinado por las reas a ser auditadas, las cuales son primariamente Una prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prueba simultneamente con la entrada en vivo. Su ventaja es que las pruebas peridicas no requieren procesos separados de prueba. Sin embargo, es necesaria una planeacin cuidadosa y los datos de prueba deben ser aislados de los datos de produccin.

Al planear una auditora, el paso MS crtico es la identificacin de:

Cul de los siguientes es una ventaja de una prueba integrada (ITF)?

Un auditor de SI evala los resultados de prueba de una modificacin a un sistema El auditor de SI debera luego examinar casos donde ocurrieron clculos incorrectos y confirmar los resultados. que trata con cmputo de pagos. El auditor encuentra que el 50% de los clculos noDespus de que los clculos hayan sido confirmados, ms pruebas pueden ser llevadas a cabo y revisadas. La preparacin coinciden con los totales predeterminados. Cul de los siguientes es MS probable de reportes, hallazgos y recomendaciones no se hara hasta que todos los resultados fueran confirmados. que sea el siguiente paso en la auditora? Durante una entrevista final, en los casos en que hay desacuerdo con respecto al impacto de un hallazgo, un auditor de SI debe: Si el auditado esta en desacuerdo en cuanto al impacto de un hallazgo, es importante que el auditor de SI elabor, clarifique y de a conocer los riesgos que el auditado no ha valorado y la magnitud de su exposicin. El objetivo deberia ser mostrar al auditado o descubrir nueva informacin que el auditor de SI no haya contemplado. Cualquier cosa que parezca una amenaza para el auditado reducir la efectividad de la comunicacin y establece una relacin controvetida. Por el

La decisin final de incluir un hallazgo material en un informe de auditora debe ser El auditor de SI debe tomar la decisin final respecto a qu incluir o excluir del informe de auditora. Las otras opciones tomada por el: limitaran la independencia del auditor.

A pesar de que la gerencia ha dicho otra cosa, un auditor de SI tiene motivos para creer que la organizacin est usando software que no tiene licencia. En esta situacin, el auditor de SI debe:

Cuando hay una indicacin de que una organizacin podra estar usando software sin licencia, el auditor de SI debe obtener evidencias suficientes antes de incluirlo en el informe. Con respecto a este asunto, las manifestaciones obtenidas de la gerencia no pueden ser verificadas de manera independiente. Si la organizacin est usando software que no tiene licencia, el auditor, para mantener objetividad e independencia, gancho de auditora implica integrar el cdigo en los sistemas seleccionadas. Esto ayuda a un auditor de SI a actuar se salgan de control. Un mdulo integrado de auditora en el sistema anfitrin de aplicacin de la organizacinl de aplicacin para el examen de las antes de que un error o una implica integrar software escrito de modo que los sistemas de

La tcnica de Cul de las siguientes tcnicas de auditora en lnea es MS efectiva para la deteccin temprana de transacciones errores o irregularidades? irregularidad especialmente El vicepresidente de recursos humanos ha solicitado una auditora para identificar los sobrepagos de planilla/nmina para el ao anterior. Cul sera la MEJOR tcnica de auditora para usar en esta situacin?

Las caractersticas del software generalizado de auditora incluyen cmputos matemticos, estratificacin, anlisis estadstico, verificacin de secuencia, verificacin de duplicados y reclculos. El auditor de SI, usando software generalizado de auditora, podra disear pruebas apropiadas para recalcular la planilla/nmina y, de ese modo, determinar si hubo sobrepagos, y a quines fueron efectuados. Los El objetivo primario de un programa auditora interna cambiando algunas lnea de rea funcional. El xito de un asumen responsabilidad de los controles. de autoevaluacin de control (CSA) de las responsabilidad de monitoreo programa de CSA depende del grado Las opciones B, C y D son caractersticas es apalancar la funcin de de control a los gerentes de al que los gerentes de lnea de un enfoque tradicional de

El xito de la autoevaluacin de control (CSA) depende grandemente de:

Cul de los siguientes es un beneficio de un mtodo de planeacin de auditora basado en el riesgo?

El mtodo basado en el riesgo est diseado para asegurar que el tiempo de auditora sea empleado en las reas de mayor riesgo. El desarrollo de un cronograma de auditora no est dirigido por un mtodo basado en el riesgo. Los cronogramas de auditora pueden ser preparados con meses de anticipacin usando diversos mtodos de cronograma. Un mtodo de riesgo no tiene una correlacin directa con que el personal de Las normas de auditora de ISACA requieren que un auditor de SI planee el trabajo de resolver los objetivos de auditora. La opcin B es incorrecta porque el auditor no recoge etapa de planificacin de una auditora. Las opciones C y D son incorrectas porque no primarias de la planificacin de auditora. Las actividades descritas en las opciones B, C auditora para evidencia en la son las metas y D son todas

Durante la etapa de planificacin de una auditora de SI, la meta PRIMARIA de un auditor de SI es:

Un beneficio PRIMARIO para una organizacin que emplea tcnicas de auto evaluacin de controles (control self-assessment-CSA), es que ella:

La CSA se predica sobre la revisin de las reas de alto riesgo que o bien necesitan atencin inmediata o una revisin ms exhaustiva en una fecha posterior. La respuesta B es incorrecta porque la CSA requiere la participacin de tanto los auditores como la gerencia de lnea. Lo que ocurre es que la funcin de auditora interna pasa algunas de las responsabilidades de monitoreo de control a las reas funcionales. La Los procedimientos son procesos que un auditor de SI puede seguir en un compromiso de auditora. Para determinar si cualquier procedimiento especfico es apropiado, un auditor de SI debe usar un juicio profesional apropiado a las circunstancias especficas. El juicio profesional implica una evaluacin subjetiva y a menudo cualitativa de las condiciones que surgen en el curso de una auditora. El juicio se El mtodo de autoevaluacin de control (CSA) hace nfasis en la administracin y en la obligacin de rendir cuentas de desarrollar y monitorear los controles de los procesos de negocio de una organizacin. Los atributos de CSA incluyen: empleados facultados, mejoramiento continuo, extensa participacin y entrenamiento de los empleados, todo lo cual son manifestaciones de amplia participacin de los

Cuando selecciona los procedimientos de auditora, un auditor de SI debe usar su juicio profesional para asegurar que:

Cul de los siguientes es un atributo del mtodo de autoevaluacin de control (CSA)?

La prueba de cumplimiento determina si los controles se estn aplicando de acuerdo con las polticas. Un auditor de SI est revisando el acceso a una aplicacin para determinar si los 10 Esto incluye pruebas para determinar si las nuevas cuentas fueron debidamente autorizadas. El muestreo formularios "nuevo usuario" ms recientes fueron correctamente autorizados. Este es un ejemplo de: de variables se usa para estimar los valores numricos, tales como valores de dlar. La prueba sustantiva sustancia la integridad del procesamiento real, como por ejemplo los saldos de los estados Cul de las siguientes sera la MEJOR poblacin de la cual tomar una muestra cuando un programa en pruebas cambia? La mejor fuente de la cual extraer cualquier ejemplo o prueba de un sistema de informacin es el sistema automatizado. Las bibliotecas de produccin representan ejecutables que estn aprobados y autorizados para procesar los datos de la organizacin. Los listados de programa fuente serian intensivos en el tiempo. Las solicitudes de cambio de programa son los documentos usados para iniciar el cambio. No hay

Durante una revisin de implementacin de una aplicacin distribuida multiusuario, el auditor deLas debilidades individualmente son de menor importancia, sin embargo, juntas tienen el potencial de SI encuentra debilidades menores en tres reas-La disposicin inicial de parmetros est instalada debilitar sustancialmente la estructura general de control. Las opciones A y D reflejan una falla de parte del incorrectamente, se estn usando contraseas dbiles y algunos reportes vitales no se estn auditor de SI para reconocer el efecto combinado de la debilidad de control. Advertir al gerente local sin verificando debidamente. Mientras se prepara el informe de auditora, el auditor de SI debera: reportar los hechos y observaciones ocultara los hallazgos de los otras partes interesadas. Cuando prepara un informe de auditora, el auditor de SI debe asegurarse que los resultados estn soportados por: El estndar de ISACA sobre "informes" requiere que el auditor de SI tenga evidencias de auditora suficientes y apropiadas para soportar los resultados que se reportan. Las declaraciones de la gerencia de SI proveen una base para obtener concurrencia sobre asuntos que no pueden ser verificados con evidencia emprica. El informe debe basarse en evidencias recogidas durante el curso de la revisin aunque el auditor pueda tener Si las respuestas dadas a las preguntas de un auditor de SI no estn confirmadas por procedimientos documentados o descripciones de puestos de trabajo, el auditor de SI debe expandir el alcance de las pruebas de los controles e incluir ms pruebas sustantivas. No hay evidencia de que cualesquiera sean los controles que pudieran existir son o bien inadecuados o adecuados. Poner mayor confianza en las

Un auditor de SI que entrevista a un empleado de planilla encuentra que las respuestas no respaldan las descripciones de los puestos de trabajo y los procedimientos documentados. Bajo estas circunstancias, el auditor de SI debe:

Una evaluacin completa del riesgo determina el nivel apropiado para un nivel dado de riesgo, mientras que el La PRINCIPAL ventaja del enfoque de evaluacin del riesgo sobre el enfoque de lnea base para la enfoque de la lnea base aplica meramente un conjunto estndar de proteccin independientemente del riesgo. gerencia de seguridad de informacin es que ste asegura que: Hay una ventaja de costo en no sobreproteger la informacin. Sin embargo una ventaja an mayor es asegurarse que ningn activo de informacin esta sobre ni protegido de manera insuficiente. El enfoque de la En el proceso de evaluar los controles de cambio de programa, un auditor de SI usara software de comparacin de cdigo fuente para: Un auditor de SI tiene un objetivo, aseguramiento independiente y relativamente completo de cambios de programa porque la comparacin de cdigos fuente identificar los cambios. La opcin B es incorrecta porque los cambios hechos desde la adquisicin de la copia no estn incluidos en la copia del software. La opcin C es incorrecta ya que un auditor de SI tendr que obtener este aseguramiento separadamente. La opcin D es El Software genrico de auditora (GAS) permite al auditor revisar todo el archivo de facturas para buscar los elementos que cumplan con los criterios de seleccin. El muestreo de atributos ayuda a identificar los registros que cumplen con condiciones especficas, pero no compara un registro con otro para identificar duplicados. Para detectar registros duplicados de facturas, el auditor de SI debera verificar todos los elementos Uno de los factores clave a ser considerados mientras se evalan los riesgos relacionados con el uso de diversos sistemas de informacin son las amenazas y las vulnerabilidades que afectan a los activos. Los riesgos relacionados con el uso de activos de informacin deben ser evaluados aisladamente de los controles instalados. De manera similar, la eficacia de los controles debe ser considerada durante la etapa de

Cul de las opciones siguientes debera utilizar un auditor de SI para detectar registros duplicados de facturas dentro de un archivo maestro de facturas?

Un auditor de SI est revisando la evaluacin del riesgo de la gerencia, de los sistemas de informacin. El auditor de SI debe PRIMERO revisar:

En el curso de la realizacin de un anlisis de riesgo, un auditor de SI ha identificado amenazas e impactos potenciales. Inmediatamente despus, un auditor de SI debe:

Es importante que un auditor de SI identifique y evale los controles y la seguridad existentes una vez que las amenazas potenciales y los impactos posibles estn identificados. Al concluirse una auditora, un auditor de SI debe describir y discutir con la gerencia las amenazas y los impactos potenciales sobre los activos.

Cuando se evala el diseo de los controles de monitoreo de red, un auditor de SI debe PRIMERO revisar:

El primer paso para evaluar los controles de monitoreo de red debe ser la revisin de la adecuacin de la documentacin de red, especficamente los diagramas de topologa. Si esta informacin no estuviera actualizada, entonces los procesos de monitoreo y la capacidad para diagnosticar problemas no ser efectiva. El objetivo primario del software forense es preservar la evidencia electrnica para satisfacer las reglas de evidencia. La opcin B, los ahorros en tiempo y en costos, y la eficiencia y la eficacia, opcin C, eficiencia y eficacia, son preocupaciones legtimas y diferencian a los paquetes buenos de los paquetes deficientes de software forense. La opcin D, la capacidad de investigar las violaciones de los derechos de propiedad Se puede comprometer la independencia si el auditor de el desarrollo, adquisicin, e implementacin del sistema que no comprometen la independencia del auditor independencia del auditor de sistemas no compromete sistemas est o ha estado involucrado activamente en de aplicacin. Las opciones B y C son situaciones de sistemas. La opcin D es incorrecta porque la suministrando asesora sobre las mejores prcticas

Cul de las siguientes es la ventaja PRINCIPAL de usar software forense de computacin para las investigaciones?

Se asigna a un auditor de sistemas para que realice una revisin de un sistema de aplicacin posterior a la implementacin. Cul de las siguientes situaciones puede haber comprometido la independencia del auditor de sistemas? El auditor de SI:

Cul de las opciones siguientes utilizara un auditor de SI para determinar si se realizaron modificaciones no autorizadas a los programas de produccin?

Para determinar que slo se han realizado modificaciones autorizadas a los programas de produccin, sera necesario revisar el proceso de gestin de cambios para evaluar la existencia de un rastro de evidencia documental. Las pruebas de cumplimiento ayudaran a verificar que el proceso de gestin de cambios ha sido aplicado consistentemente. Es poco probable que el anlisis del log de sistema provea El alcance de una auditora de SI est definido por sus objetivos. Esto implica identificar las debilidades de control relevantes para el alcance de la auditora. Obtener evidencias suficientes y apropiadas ayuda al auditor a identificar las debilidades de control pero tambin a documentarlas y validarlas. Cumplir con los requisitos regulatorios, asegurar la cobertura y la ejecucin de la auditora son todos relevantes para una auditora Habilitar pistas de auditora ayuda transacciones procesadas, rastreando proveer pistas de auditora no es procesamiento adicional que puede a establecer la obligacin de rendir cuentas y la responsabilidad de las transacciones a travs del sistema. El objetivo de habilitar software para mejorar la eficiencia del sistema, ya que esto implica a menudo un en realidad reducir el tiempo de respuesta para los usuarios. Habilitar

La razn MS importante para que un auditor de SI obtenga evidencias suficientes y apropiadas de auditora es:

El propsito PRIMARIO de las pistas de auditora es:

Al desarrollar una estrategia de auditora basada en el riesgo, es crtico que los riesgos y las vulnerabilidades Cuando desarrolla una estrategia de auditora basada en el riesgo, un auditor de SI debe llevar a cabo sean entendidos. Esto determinar las reas a ser auditadas y el grado de cobertura. Entender si estn una evaluacin del riesgo para asegurar que: establecidos los controles apropiados requeridos para mitigar los riesgos es un efecto resultante de una auditora. Los riesgos de auditora son aspectos inherentes de la auditora, estn directamente relacionados Una prueba sustantiva para verificar que los registros de inventario de biblioteca de cinta son correctos es: Una prueba sustantiva incluye recolectar evidencia para evaluar la integridad de las transacciones individuales, los datos y otra informacin. Llevar a cabo un conteo fsico del inventario de cintas es una prueba sustantiva. Las opciones A, B y D son pruebas de cumplimiento.

Para asegurar que los recursos de auditora entreguen el mejor valor a la organizacin, el PRIMER paso sera:

Monitorear el tiempo (la opcin A) y auditar los programas (opcin D), as como tambin un entrenamiento adecuado (opcin B) mejorarn la productividad del personal de auditora de SI (eficiencia y desempeo), pero lo que entrega valor a la organizacin son los recursos y esfuerzos que se dedican a, y que estn enfocados sobre, las reas de mayor riesgo.

El propsito PRIMARIO para reunirse con los auditados antes de cerrar formalmente una revisin es: El propsito PRIMARIO para reunirse con los auditados antes de cerrar formalmente una revisin es llegar a un acuerdo sobre los hallazgos. Las otras opciones, a pesar de estar relacionadas con el cierre formal de una auditora, son de importancia secundaria. El grado hasta donde los datos sern recolectados durante una auditora de SI debe relacionarse El grado hasta donde los datos sern recolectados durante una auditora de SI debera ser determinado directamente con el alcance y el propsito de la auditora. Una auditora que tenga un propsito y un alcance basado en: estrechos lo ms probable es que tendra como consecuencia menos recoleccin de datos, que una auditora que tuviera un propsito y un alcance ms amplios. El alcance de una auditora de SI no El riesgo general del negocio para una amenaza en particular se puede expresar como: La opcin A toma en consideracin tanto la probabilidad como la magnitud del impacto y provee la mejor medida del riesgo para un activo. La opcin B provee nicamente la probabilidad de que una amenaza explote una vulnerabilidad en el activo pero no provee la magnitud del posible dao al activo. De manera similar, la opcin C considera solamente la magnitud del dao y no la posibilidad de que una amenaza El uso de software no autorizado o ilegal debe estar prohibido en una organizacin. La piratera de software tiene como consecuencia la exposicin inherente y puede resultar en severas multas. El auditor de SI debe convencer al usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el riesgo. Un auditor de SI no debe asumir la funcin del oficial de cumplimiento ni asumir participacin personal alguna para retirar o Los archivos de respaldo contienen documentos, que supuestamente han sido borrados, podran ser recuperados de estos archivos. Los controles de acceso pueden ayudar a establecer responsabilidad de dar cuenta de la emisin de un documento en particular, pero esto no provee evidencia del correo Electrnico. Las normas de clasificacin de datos pueden haber sido fijadas respecto a lo que debera comunicarse por correo Una prueba sustantiva confirma la integridad del procesamiento real. Una prueba los registros de la biblioteca de cintas estn establecidos correctamente. Una determina si se estn aplicando los controles de una forma consistente con las de la gerencia. Verificar la autorizacin de los reportes de excepcin, revisar la sustantiva determinara si prueba de cumplimiento polticas y procedimientos autorizacin para cambiar

Un auditor de SI que lleva a cabo una revisin del uso y licenciamiento de software descubre que numerosas PCs contienen software no autorizado. Cul de las siguientes acciones debera emprender el auditor de SI?

Cul de las siguientes es la razn MS probable de por qu los sistemas de correo electrnico se han convertido en una fuente til de evidencia en litigios?

Cul de las siguientes es una prueba sustantiva?

Una prueba integrada (integrated test facility-ITF) se considera una herramienta til de auditora porque:

Una facilidad de prueba integrada se considera una herramienta til de auditora porque usa los mismos programas para comparar el procesamiento usando datos calculados de manera independiente. Esto implica establecer entidades ficticias en un sistema de aplicacin y procesar datos de prueba o de produccin contra la entidad como un medio de verificar el procesamiento adecuado.

Cuando se realiza una investigacin forense de computadora, la MAYOR preocupacin de un auditor de SI debe ser:

con respecto a la evidencia recolectada, La preservacin y documentacin de evidencia para revisin por el organismo de cumplimiento y las autoridades judiciales son la preocupacin primaria cuando se lleva a cabo una investigacin. No preservar debidamente la evidencia podra poner en peligro la aceptacin de la evidencia en el proceso legal. El anlisis, la evaluacin y la divulgacin son importantes pero no son la preocupacin primaria en una investigacin forense.

Como el nombre no Durante una revisin de un archivo maestro de clientes, un auditor de SI descubri numerosas detectar duplicaciones duplicaciones de nombre de cliente que surgan de variaciones en los primeros nombres del cliente. entonces seguidamente Para determinar la extensin de la duplicacin, el auditor de SI usara: direcciones. Buscar los Un auditor de SI est efectuando una auditora de un sistema operativo de red. Cul de las siguientes es una funcin de usuario que el auditor de SI debe revisar?

es el mismo (debido a variaciones de los primeros nombres), un mtodo para seria comparar otros campos comunes, como por ejemplo las direcciones Y podra llevarse a cabo una revisin para determinar los nombres de los clientes en estas nmeros de cuenta duplicados probablemente no hallara duplicaciones de nombres ya

Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en lnea de documentacin de red. Otras funciones seran el acceso del usuario a diversos recursos de anfitriones (hosts) de red, la autorizacin del usuario a tener acceso a recursos particulares y la red y las computadoras anfitrionas (hosts) a ser usadas sin acciones o comandos especiales de usuario. Las opciones B, Preparar transacciones simuladas para procesar y comparar los resultados con resultados predeterminados es el MEJOR mtodo para probar la correccin de un clculo de impuestos. La revisin visual detallada, la creacin de diagramas de flujo y el anlisis de cdigo fuente no son mtodos efectivos, y los totales mensuales no resolveran la exactitud de clculos individuales de impuestos.

El MEJOR mtodo de probar la exactitud de un sistema de clculo de impuestos es:

Cuando se evala el efecto colectivo de los controles preventivos de deteccin o correctivos dentro Un auditor de SI debera concentrarse en cuando los controles son ejercidos como flujos de datos a travs del sistema de computadora. La opcin B es incorrecta ya que los controles correctivos pueden ser de un proceso, un auditor de SI debera estar consciente: tambin relevantes. La opcin C es incorrecta ya que los controles correctivos eliminan o reducen los efectos de los errores o irregularidades y son considerados exclusivamente como controles compensatorios. La opcin D Cul de las siguientes tcnicas de auditora ayudara MS a un auditor a determinar si ha habido cambios no autorizados de programa desde la ltima actualizacin autorizada de programa? Una comparacin automtica de cdigos es el proceso de comparar dos versiones del ejemplo de programa para determinar si las dos corresponden. Es una tcnica eficiente porque es un procedimiento automtico. Las corridas de prueba de datos permiten al auditor verificar el procesamiento de transacciones preseleccionadas, pero no proveen evidencias sobre porciones no ejercitadas de un programa. La revisin de Cuando evala los controles de acceso lgico, un auditor de SI debe primero obtener un entendimiento del riesgo de seguridad que enfrenta el procesamiento de informacin revisando la documentacin relevante, mediante averiguaciones, y llevando a cabo una evaluacin del riesgo. La documentacin y la evaluacin es el segundo paso para determinar la adecuacin, de programas est Preguntar a los programadores sobre los procedimientos que se estn siguiendo actualmente es til para determinar si el acceso a la documentacin de programas est restringido a las personas autorizadas. Evaluar los planes de retencin de registros para almacenamiento fuera de las instalaciones pone a prueba los procedimientos de recuperacin, no el control de acceso a la documentacin de programas. Probar los Uno de los principales objetivos de una auditora es identificar los riesgos potenciales; por lo tanto, el mtodo ms proactivo sera identificar y evaluar las prcticas existentes de seguridad que la organizacin est siguiendo. Un auditor de SI no debe preparar documentacin, y si lo hiciera, su independencia estara en peligro. Dar por terminada la auditora puede impedir que se logren los objetivos de la auditora, es No reportar una intrusin es equivalente a un auditor de SI que esconde una intrusin maliciosa, lo cual sera un error profesional. A pesar de que puede requerirse la notificacin a la polica y que la falta de un examen peridico de derechos de acceso podra ser una preocupacin, ellos no representan una preocupacin tan grande como la de dejar de reportar un ataque. Reportar al pblico no es un requisito y

Un auditor de SI que evala los controles de acceso lgico debe PRIMERO:

Un Auditor de sistemas que trate de determinar si el acceso a la documentacin restringido a las personas autorizadas, lo MS probable es que:

Durante una auditora de seguridad de procesos de TI, un auditor de SI encontr que no haba procedimientos de seguridad documentados. El auditor de SI debe:

Cul de las siguientes debe ser la MAYOR preocupacin para un auditor de SI?

Cul de las siguientes debe ser la MAYOR preocupacin para un auditor de SI?

No reportar una intrusin es equivalente a un auditor de SI que esconde una intrusin maliciosa, lo cual sera un error profesional. A pesar de que puede requerirse la notificacin a la polica y que la falta de un examen peridico de derechos de acceso podra ser una preocupacin, ellos no representan una preocupacin tan grande como la de dejar de reportar un ataque. Reportar al pblico no es un requisito y Los archivos de respaldo contienen documentos, que supuestamente han sido borrados, podran ser recuperados de estos archivos. Los controles de acceso pueden ayudar a establecer responsabilidad de dar cuenta de la emisin de un documento en particular, pero esto no provee evidencia del correo Electrnico. Las normas de clasificacin de datos pueden haber sido fijadas respecto a lo que debera comunicarse por correo El objetivo primario del software forense es preservar la evidencia electrnica para satisfacer las reglas de evidencia. Los ahorros en tiempo y en costos, opcin B, y la eficiencia y la eficacia, opcin C, son preocupaciones legtimas y diferencian a los paquetes buenos de los paquetes deficientes de software forense. La capacidad de investigar las violaciones de los derechos de propiedad intelectual, opcin D, es un ejemplo de Una prueba sustantiva confirma la integridad del procesamiento real. Una prueba sustantiva determinara si los registros de la biblioteca de cintas estn establecidos correctamente. Una prueba de cumplimiento determina si se estn aplicando los controles de una forma consistente con las polticas y procedimientos de la gerencia. Verificar la autorizacin de los reportes de excepcin, revisar la autorizacin para cambiar La evidencia obtenida de fuentes externas es por lo general ms confiable que la obtenida desde dentro de la organizacin. Las cartas de confirmacin recibidas desde el exterior, como por ejemplo las usadas para verificar los balances de cuentas por cobrar, son por lo general altamente confiables. La prueba realizada por un auditor no puede ser confiable si el auditor no tenia un buen entendimiento del rea tcnica bajo revisin.

Cul de las siguientes es la razn MS probable de por qu los sistemas de correo electrnico se han convertido en una fuente til de evidencia en litigios?

Cul de las siguientes es la ventaja PRINCIPAL de usar software forense de computacin para las investigaciones?

Cul de las siguientes es una prueba sustantiva?

Cul de las siguientes formas de evidencia para el auditor se considerara la MS confiable?

Cul de las siguientes herramientas de auditora es la MS importante para un auditor de SI cuando Una herramienta de instantnea (snapshot) es ms til cuando se requiere una pista de auditora. ITF puede usarse para incorporar transacciones de prueba en una corrida normal de produccin. CIS es til cuando las se requiere una pista de auditora? transacciones que renen ciertos criterios necesitan ser examinadas. Los ganchos de auditora son tiles cuando slo se necesita examinar transacciones o procesos escogidos. Cul de las siguientes opciones sera normalmente la evidencia MS confiable para un auditor? La evidencia obtenida de terceros independientes casi siempre es considerada la ms confiable. Las respuestas B, C y D no serian consideradas confiables.

Cul de las siguientes pruebas es realizada por un auditor de SI cuando es seleccionada una muestra de programas para determinar si las versiones fuentes y las versiones objeto son las mismas?

Una prueba de cumplimiento determina si los controles estn operando como se disearon y si estn siendo aplicados en tal forma que cumplan con las polticas y procedimientos de gerencia. Por ejemplo, si al auditor de SI le preocupa si los controles de biblioteca de programas estn funcionando correctamente, el auditor de SI podra seleccionar una muestra de programas para determinar si las versiones

La mejor fuente de la cual extraer cualquier ejemplo o prueba de un sistema de informacin es el Cul de las siguientes sera la MEJOR poblacin de la cual tomar una muestra cuando un programa sistema automatizado. Las bibliotecas de produccin representan ejecutables que estn aprobados y en pruebas cambia? autorizados para procesar los datos de la organizacin. Los listados de programa fuente serian intensivos en el tiempo. Las solicitudes de cambio de programa son los documentos usados para iniciar el cambio. No hay

Cul de las siguientes tcnicas en lnea es ms efectiva para la deteccin temprana de errores o irregularidades?

La tcnica del gancho de auditora implica integrar cdigo en los sistemas de aplicacin para el examen de transacciones seleccionadas. Esto ayuda al auditor de SI a actuar ante un error o una irregularidad se sale de control. Un modulo integrado de auditora implica integrar software escrito especialmente en el sistema anfitrin de aplicacin de la organizacin para que los sistemas de aplicacin sean monitoreados de El muestreo de atributos es el mtodo primario de muestreo que se usa para comprobar el cumplimiento. El muestreo de atributos es un modelo de muestreo que se usa para estimar la tasa de ocurrencia de una calidad especifica (atributo) en una poblacin y se usa en la comprobacin de cumplimiento para confirmar si esta calidad existe o no. Las otras elecciones se usan en comprobaciones substantivas que involucran La respuesta A describe mejor una prueba integrada (integrated test facility-ITF), que es un proceso de auditora especializado asistido por computadora que permite que auditor de SI pruebe una aplicacin de manera continua. La respuesta B es un ejemplo de un archivo de revisin de control de sistemas; las respuestas C y D son ejemplos de instantneas. La eficacia de los datos de prueba est determinada por la extensin de la cobertura de todos los controles clave a ser probados. Si los datos de prueba no cubren todas las condiciones vlidas y no vlidas, hay un riesgo de que la debilidad de control relevante pueda seguir sin ser detectada. Los cambios en el programa, por el perodo cubierto por la auditora, pueden haberse efectuado para depurar o para funcionalidades El mtodo basado en el riesgo est diseado para asegurar que el tiempo de auditora sea empleado en las reas de mayor riesgo. El desarrollo de un cronograma de auditora no est dirigido por un mtodo basado en el riesgo. Los cronogramas de auditora pueden ser preparados con meses de anticipacin usando diversos mtodos de cronograma. Un mtodo de riesgo no tiene una correlacin directa con que el personal de auditora Los objetivos de los programas CSA incluyen la educacin para la gerencia de lnea en responsabilidad del control, seguimiento y concentracin de todos en las reas de alto riesgo. Los objetivos de los programas de CSA incluyen el aumento de las responsabilidades de auditora, no el reemplazo de las responsabilidades de auditora. Las opciones C y D son herramientas de CSA y no objetivos. Una prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prueba simultneamente con la entrada en vivo. Su ventaja es que las pruebas peridicas no requieren procesos separados de prueba. Sin embargo, es necesaria una planeacin cuidadosa y los datos de prueba deben ser aislados de los datos de produccin. Durante la planeacin, el auditor de SI debera obtener una visin general de las funciones que estn siendo auditadas y evaluar los riesgos de auditora y de negocios. Las opciones A y D son parte del proceso de trabajo de campo de la auditora que ocurre posterior a esta planeacin y preparacin. La opcin C no es parte de una revisin de seguridad.

Cul de los mtodos de muestreo es el MS til cuando se pone a prueba su cumplimiento?

Cul de los siguientes describe MEJOR una prueba integrada (integrated test facility-ITF)?

Cul de los siguientes es el MAYOR desafo al utilizar datos de prueba?

Cul de los siguientes es un beneficio de un mtodo de planeacin de auditora basado en el riesgo?

Cul de los siguientes es un objetivo de un programa de auto evaluacin de control (CSA)?

Cul de los siguientes es una ventaja de una prueba integrada (ITF)?

Cul de los siguientes pasos realizara PRIMERO un auditor de SI normalmente en una revisin de seguridad del centro de datos?

La prueba de integridad de dominio est dirigida a verificar que los datos se ajusten a las definiciones, Cul de los siguientes podra ser usado por un auditor de SI para validar la efectividad de las rutinas i.e., los elementos de datos estn todos en los dominios correctos. El objetivo principal de este ejercicio es de edicin y de validacin? verificar que las rutinas de edicin y de validacin estn funcionando de manera satisfactoria. Las pruebas de integridad relacional se realizan a nivel del registro y por lo general implican calcular y verificar diversos campos

Las decisiones y las acciones de un auditor es MS probable que afecten a cul de los riesgos siguientes?

Un riesgo de deteccin est directamente afectado por la seleccin, por parte del auditor, de los procedimientos y tcnicas de auditora. Los riesgos inherentes por lo general no estn afectados por el auditor de SI. Un riesgo de control es controlado por las acciones de la gerencia de la compaa. Los riesgos financieros no estn afectados por el auditor de SI. Observando el personal de SI cuando realiza operaciones no compatibles y entrevistando el tareas realizadas. Basado en las observaciones La gerencia no puede estar en conocimiento sus tareas, el auditor de SI puede identificar si ellos estn realizando personal de SI el auditor puede obtener un panorama general de las y entrevistas, el auditor puede evaluar la segregacin de funciones. de las funciones detalladas de cada empleado en el departamento de

Qu tcnica de auditora provee la MEJOR evidencia de la segregacin de funciones en un departamento de SI?

A travs de todas las fases de un trabajo de auditora, el Auditor de SI debe concentrarse en:

A travs de todas las fases de la auditora de SI, el auditor debe asegurarse que haya documentacin adecuada. La recoleccin de evidencias, el muestreo y las pruebas sustantivas no ocurren en todas las fases de una auditora; por ejemplo, la fase de reporte no requiere la recoleccin de evidencias, sino que utilizara las evidencias recolectadas en una fase anterior del proceso de auditora. Lo primero que un auditor de SI debe hacer despus de detectar el virus es alertar sobre su presencia a la organizacin, luego esperar la respuesta de sta. La opcin A se debe emprender despus de la opcin C. Esto permitir al auditor de SI examinar la funcionalidad y la efectividad del sistema de respuesta. El auditor de SI no debe hacer cambios al sistema que est siendo auditado, y asegurar la eliminacin del virus es una Cuando se disea un plan de auditora, es importante identificar las reas de ms alto riesgo para determinar las reas a ser auditadas. Los conjuntos de habilidades del personal de auditora deberan haberse considerado antes de decidir y de escoger la auditora. Los pasos de prueba para la auditora no son tan crticos como identificar las reas de riesgo, y el tiempo asignado para una auditora est determinado por El auditor de SI es en ltima instancia responsable ante la alta gerencia y ante el comit de auditora de la junta directiva. Incluso si el auditor de SI debe discutir los hallazgos con el personal de gerencia de la entidad auditada (opcin B), ello se hace nicamente para obtener acuerdo sobre los hallazgos y para desarrollar un curso de accin correctiva. La opcin C es incorrecta porque el director de auditora de SI debe revisar el reporte Para desarrollar una estrategia de auditora basada en el riesgo, es crtico que se entiendan los riesgos y vulnerabilidades. Esto determinar las reas a ser auditadas y la extensin de la cobertura. Entender si los controles apropiados requeridos para mitigar los riesgos estn instalados es un efecto resultante de una auditora. Los riesgos de auditora son aspectos inherentes de la auditora, estn directamente relacionados El primer paso para evaluar los controles de monitoreo de la red debe ser la revisin de la adecuacin de documentacin de red, especficamente los diagramas de topologa. Si esta informacin no est actualizada, entonces los procesos de monitoreo y la capacidad para diagnosticar los problemas no sern efectivos. Un auditor de SI debera concentrarse en cuando los controles son ejercidos como flujos de datos a travs del sistema de computadora. La opcin B es incorrecta ya que los controles correctivos pueden ser tambin relevantes. La opcin C es incorrecta ya que los controles correctivos eliminan o reducen los efectos de los errores o irregularidades y son considerados exclusivamente como controles compensatorios. La opcin D es

Al llevar a cabo una auditora, un auditor de SI detecta la presencia de un virus. Cul debe ser el siguiente paso del auditor de SI?

Al planear una auditora, el paso MS crtico es la identificacin de:

Cuando comunican los resultados de auditora, los auditores de SI deben recordar que en ltima instancia ellos son los responsables ante:

Cuando se est desarrollando una estrategia de auditora basada en el riesgo, un auditor de SI debe llevar a cabo una evaluacin del riesgo para asegurar que:

Cuando se evala el diseo de los controles de monitoreo de red, un auditor de SI debe PRIMERO revisar:

Cuando se evala el efecto colectivo de los controles preventivos de deteccin o correctivos dentro de un proceso, un auditor de SI debera estar consciente:

Cuando se implementan sistemas de monitoreo continuo el PRIMER paso de un auditor de SI es identificar:

El primer paso y el ms crtico en el proceso es identificar las reas de alto riesgo dentro de la organizacin. Los gerentes del departamento de negocios y altos ejecutivos estn en las mejores posiciones para ofrecer una opinin respecto a estas reas. Una vez que las reas potenciales de implementacin hayan sido identificadas, se debera realizar una evaluacin del impacto potencial para identificar las aplicaciones que proveen el La preservacin y la documentacin de evidencias a ser revisadas por las autoridades policiales y judiciales es una preocupacin primaria cuando se lleva a cabo una investigacin. No preservar las evidencias debidamente, podra poner en peligro la aceptacin de las evidencias en los procesos legales. El anlisis, la evaluacin y la revelacin son importantes pero no son de importancia primaria en una investigacin forense. Los procedimientos son procesos posibles que un auditor de SI puede seguir en un trabajo de auditora. Para determinar si algn procedimiento especfico es apropiado, el Auditor de SI debe usar su juicio profesional apropiado para las circunstancias especficas. Juicio profesional implica una evaluacin subjetiva y a menudo cualitativa de las condiciones que surgen en el curso de una auditora. El juicio se ocupa de un rea gris donde Las normas de auditora de ISACA requieren que un auditor de SI planee el trabajo de auditora para alcanzar los objetivos de auditora. La opcin B es incorrecta porque el auditor no recoge evidencias en la etapa de planeacin de una auditora. Las opciones C y D son incorrectas porque ellas no son las metas primarias de planeacin de una auditora. Las actividades descritas en las opciones B, C y D son todas Uno de los principales objetivos de una auditora es identificar los riesgos potenciales; por lo tanto, el mtodo ms proactivo sera identificar y evaluar las prcticas existentes de seguridad que la organizacin est siguiendo. Un auditor de SI no debe preparar documentacin, y si lo hiciera, su independencia estara en peligro. Dar por terminada la auditora puede impedir que se logren los objetivos de la auditora, es decir,

Cuando se realiza una investigacin forense de computadora, un auditor de SI debe preocuparse MS de:

respecto a las evidencias recolectadas,

Cuando se seleccionan procedimientos de auditora, el Auditor de SI debe usar su juicio profesional para asegurar que:

Durante la etapa de planeacin de una auditora de SI, la meta PRIMARIA del auditor es:

Durante una auditora de seguridad de procesos de TI, un auditor de SI encontr que no haba procedimientos de seguridad documentados. El auditor de SI debe:

Durante una revisin de implementacin de una aplicacin distribuida multiusuario, el auditor deLas debilidades individualmente son de menor importancia, sin embargo, juntas tienen el potencial de SI encuentra debilidades menores en tres reas-La disposicin inicial de parmetros est instalada debilitar sustancialmente la estructura general de control. Las opciones A y D reflejan una falla de parte del incorrectamente, se estn usando contraseas dbiles y algunos reportes vitales no se estn verificando auditor de SI para reconocer el efecto combinado de la debilidad de control. Advertir al gerente local sin debidamente. Mientras se prepara el informe de auditora, el auditor de SI debera: reportar los hechos y observaciones ocultara los hallazgos de los otras partes interesadas. Durante una revisin de los controles sobre el proceso de definir los niveles de servicios de TI,Entender los requerimientos del negocio es clave para definir los niveles de servicio. Mientras que cada un auditor de SI entrevistara MS una de las otras entidades enumeradas puede suministrar alguna definicin la mejor eleccin aqu es el gerente probablemente al: de unidad de negocio, debido a los amplios conocimientos que tiene esta persona sobre los requerimientos relacionados con la organizacin. Durante una revisin de un archivo maestro de clientes, un auditor de SI descubri numerosas duplicaciones de nombre de cliente que surgan de variaciones en los primeros nombres del cliente. Para determinar la extensin de la duplicacin, el auditor de SI usara: Como el nombre no detectar duplicaciones entonces seguidamente direcciones. Buscar los es el mismo ( debido a variaciones de los primeros nombres ), un mtodo para seria comparar otros campos comunes, como por ejemplo las direcciones Y podra llevarse a cabo una revisin para determinar los nombres de los clientes en estas nmeros de cuenta duplicados probablemente no hallara duplicaciones de nombres ya

El departamento de SI de una organizacin quiere asegurarse de que los archivos de computadora usados en la instalacin de procesamiento de informacin, estn respaldados adecuadamente para permitir la recuperacin apropiada. Este es un:

Los objetivos de control de SI especifican el conjunto mnimo de controles para asegurar la eficiencia y efectividad en las operaciones y funciones dentro de una organizacin. Los procedimientos de control se desarrollan para proveer una garanta razonable de que se lograran los objetivos especficos. Un control correctivo es una categora de controles, que est dirigida a minimizar la amenaza y/o a remediar los problemas

El xito de la autoevaluacin de control (CSA) depende en gran medida de:

El objetivo primario de un programa de CSA es repaldar la funcin de auditora interna pasando algunas de las responsabilidades de monitoreo de control a los gerentes de lnea del rea funcional. El xito de un programa de autoevaluacin de control (CSA) depende del grado en el que los gerentes de lnea asumen la responsabilidad de los controles. Las opciones B, C y D son caractersticas de un mtodo tradicional de auditora, El grado hasta donde los datos sern recolectados durante una auditora de SI debe relacionarse directamente con el alcance y el propsito de la auditora. Una auditora que tenga un propsito y un alcance estrechos lo ms probable es que tendra como consecuencia menos recoleccin de datos, que una auditora que tuviera un propsito y un alcance mas amplios. El alcance de una auditora de SI no debera ser restringidos por la Preparar transacciones simuladas para procesar y comparar los resultados con resultados predeterminados es el MEJOR mtodo para probar la correccin de un clculo de impuestos. La revisin visual detallada, la creacin de diagramas de flujo y el anlisis de cdigo fuente no son mtodos efectivos, y los totales mensuales no resolveran la exactitud de clculos individuales de impuestos. La razn primaria para llevar a cabo auditoras de SI es determinar si un sistema salvaguarda los activos y mantiene la integridad de los datos. Examinar libros de contabilidad es uno de los procesos involucrados en una auditora de SI pero no es el propsito primario. Detectar fraudes podra ser una consecuencia de una auditora de SI pero no es el propsito para el que se realiza una auditora de SI. Habilitar pistas de auditora ayuda establecer la obligacin de rendir cuentas y la responsabilidad de las transacciones procesadas, rastreando transacciones a travs del sistema. El objetivo de habilitar software para proveer pistas de auditora no es mejorar la eficiencia del sistema, ya que esto implica a menudo un procesamiento adicional que puede en realidad reducir el tiempo de respuesta para los usuarios. Habilitar pistas El contrato de auditora tpicamente establece la funcin y la responsabilidad del departamento de auditora interna. Debera establecer los objetivos de la gerencia y la delegacin de autoridad al departamento de auditora. Este se cambia muy pocas veces y no contiene el plan de auditora o el proceso de auditora que es por lo general parte del plan anual de auditora, ni describe un cdigo de conducta profesional ya Este es un ejemplo de riesgo de deteccin.

El grado hasta donde los datos sern recolectados durante una auditora de SI debera ser determinado basado en:

El MEJOR mtodo de probar la exactitud de un sistema de clculo de impuestos es:

El objetivo PRIMARIO de una funcin de auditora de SI es:

El propsito PRIMARIO de las pistas de auditora es:

El propsito PRIMARIO de un contrato de auditora es:

El riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya que los errores materiales no existen cuando en realidad existen, es un ejemplo de:

El riesgo general del negocio para una amenaza en particular se puede expresar como:

La opcin A toma en consideracin tanto la probabilidad como la magnitud del impacto y provee la mejor medida del riesgo para un activo. La opcin B provee nicamente la probabilidad de que una amenaza explote una vulnerabilidad en el activo pero no provee la magnitud del posible dao al activo. De manera similar, la opcin C considera solamente la magnitud del dao y no la posibilidad de que una amenaza El riesgo de deteccin es el riesgo de que el auditor de SI use un procedimiento inadecuado de prueba y concluya que los errores materiales no existen, cuando en realidad s existen. Usando muestreo estadstico, un auditor de SI puede cuantificar con qu aproximacin debe la muestra representar a la poblacin y debe cuantificar la probabilidad de error. El riesgo de muestreo es el riesgo de que se hagan supuestos incorrectos sobre

El uso de procedimientos estadsticos de muestreo ayuda a minimizar el riesgo:

Las caractersticas del software El vicepresidente de recursos humanos ha solicitado una auditora para identificar los sobrepagos anlisis estadstico, verificacin de planilla/nmina para el ao anterior. usando software generalizado Cul sera la MEJOR tcnica de auditora para usar en esta situacin? planilla/nmina y, de ese modo,

generalizado de auditora incluyen cmputos matemticos, estratificacin, de secuencia, verificacin de duplicados y reclculos. El auditor de SI, de auditora, podra disear pruebas apropiadas para recalcular la determinar si hubo sobrepagos, y a quines fueron efectuados. Los datos

En el curso de la realizacin de un anlisis de riesgo, un auditor de SI ha identificado amenazas Es importante que un auditor de SI identifique y evale los controles y la seguridad existentes una vez que las amenazas potenciales y los impactos posibles estn identificados. Al concluirse una auditora, un auditor de SI e impactos potenciales. Inmediatamente despus, un auditor de SI debe: debe describir y discutir con la gerencia las amenazas y los impactos potenciales sobre los activos.

En el proceso de evaluar los controles de cambio de programa, un auditor de SI usara software de comparacin de cdigo fuente para:

El auditor tiene una garanta objetiva, independiente y relativamente completa de cambio de programa, ya que la comparacin del cdigo fuente identificar los cambios. La opcin B no es cierta, ya que los cambios hechos desde la adquisicin de la copia no estn incluidos en la copia del software. La opcin C no es cierta ya que el Auditor de SI tendr que obtener esta garanta por separado. La opcin D no es cierta, ya que cualesquiera Si los auditados no estuvieran de acuerdo con el impacto de un hallazgo, es importante que el auditor de SI elabore y aclare los riesgos y exposiciones, ya que es posible que los auditados no aprecien totalmente la magnitud de la exposicin. La meta debe ser explicar a los auditados o descubrir nueva informacin de que el auditor de SI puede no haber estado en conocimiento. Cualquier cosa que parezca amenazar a El primer industria siguiente probados paso para paso sobre en un enfoque de auditora basada en el riesgo es recolectar informacin sobre el negocio y la evaluar los riesgos inherentes. Despus de realizar la evaluacin de los riesgos inherentes, el sera realizar una evaluacin de la estructura de control interno. Los controles serian entonces la base de los resultados de prueba, se realizaran las pruebas sustantivas y serian evaluadas.

En los casos en que hay desacuerdo, durante una entrevista de salida, respecto al impacto de un hallazgo, el auditor de SI debe:

En un enfoque de auditora basado en el riesgo, un auditor de SI debera realizar primero una:

En un enfoque de auditora basado en el riesgo, un auditor de SI, adems del riesgo, estara influenciado por la:

La existencia de controles internos y operativos tendr un peso sobre el enfoque de la auditora por el auditor de SI. En un enfoque basado en el riesgo, el auditor de SI no se esta basando solamente en el riesgo, sino tambin en los controles internos y operativos as como tambin en el conocimiento de la compaa y del negocio. Este tipo de decisin de anlisis del riesgo puede ayudar a relacionar el anlisis costo-beneficio del

En un servidor crtico, un auditor de SI descubre un caballo de Troya que fue producido por La prioridad es salvaguardar el sistema; por lo tanto, el auditor de SI debera sugerir controles correctivos, un virus conocido que explota una vulnerabilidad de un sistema operativo. Cul de los siguientes i.e., eliminar el cdigo. El auditor de SI no es responsable de investigar el virus. El auditor de SI puede analizar la informacin del virus y determinar si ste ha afectado el sistema operativo, pero esta es una tarea debera hacer PRIMERO un auditor? investigativa que tendra lugar despus de asegurarse que el cdigo malicioso ha sido eliminado. Instalar el En una auditora de SI de varios servidores crticos, el auditor quiere analizar las pistas de auditora para descubrir potenciales anomalas en el comportamiento de usuarios o del sistema. Cul de las herramientas siguientes es la MS adecuada para realizar esa tarea? Las herramientas de deteccin de tendencias /varianzas buscan anomalas en el comportamiento de usuarios o del sistema, por ejemplo, determinando para los documentos prenumerados si los nmeros son secuenciales o incrementales. Las herramientas CASE se usan para asistir en el desarrollo de software. El software integrado de recoleccin de datos (auditora) se usa para tomar muestras y para proveer estadsticas de produccin. Las

En una auditora de una aplicacin de inventario, qu mtodo proveer la MEJOR evidencia de que lasPara determinar la validez de la orden de compra, probar los controles de acceso proveer la mejor evidencia. Las opciones B y C estn basadas en mtodos posteriores al hecho, y la opcin D no sirve al propsito rdenes de compra son vlidas? porque lo que est en la documentacin del sistema puede no ser lo mismo que lo que est ocurriendo.

La alta gerencia ha solicitado que un auditor de SI asista a la gerencia departamental implementacin de los controles necesarios. El auditor de SI debera:

en la

En esta situacin el auditor de SI debera informar a la gerencia sobre el perjuicio a la independencia para llevar a cabo auditoras posteriores en el rea del auditado. Un auditor de SI puede realizar asignaciones que no sean de auditora cuando la experiencia y conocimientos del auditor pueden ser de utilidad para la gerencia; sin embargo, realizando la asignacin que no es de auditora, el auditor de SI no puede llevar a cabo El lineamiento de auditora de SI sobre el uso de un anlisis del riesgo en la planeacin de auditora expresa: “Todas las metodologas de anlisis de riesgo se basan en juicios subjetivos en ciento momento del proceso (por ejemplo, para asignar ponderaciones a los diversos parmetros.) El auditor de SI debe identificar las decisiones subjetivas requeridas para usar una metodologa en particular y considerar si estos La funcin del auditor de SI es asegurar que estn incluidos los controles requeridos. A menos que est presente especficamente como un consultor, el auditor de SI no debera participar en diseos detallados. Durante la fase de diseo, la funcin primaria del auditor de SI es asegurar que estn incluidos los controles. A menos que haya algn desvo potencial que reportar, al auditor de SI no le concierne el control de proyecto en Cuando se establecen los programas de CSA, los auditores de SI se convierten en profesionales de control interno y en facilitadores de evaluaciones. Los auditores de SI son los facilitadores y el cliente (gerencia y personal) es el participante en el proceso de CSA. Durante un taller de CSA, en vez de que el auditor de SI realice procedimientos detallados de auditora, debera conducir y orientar a los clientes para evaluar su

La evaluacin de riesgos es un proceso:

La funcin PRIMARIA de un auditor de SI durante la fase de diseo del sistema de un proyecto de desarrollo de aplicaciones es:

La funcin tradicional de un auditor de SI en una autoevaluacin de control (control self-assessmentCSA) debe ser la de:

Una evaluacin completa del riesgo determina el nivel apropiado para un nivel dado de riesgo, mientras que el La PRINCIPAL ventaja del enfoque de evaluacin del riesgo sobre el enfoque de lnea base para la enfoque de la lnea base aplica meramente un conjunto estndar de proteccin independientemente del riesgo. gerencia de seguridad de informacin es que ste asegura que: Hay una ventaja de costo en no sobreproteger la informacin. Sin embargo una ventaja an mayor es asegurarse que ningn activo de informacin esta sobre ni protegido de manera insuficiente. El enfoque de la La razn PRIMARIA de un auditor de SI que realiza un recorrido profesional durante la fase preliminar de una asignacin de auditora es: Entender el proceso de negocio es el primer paso que el Auditor de SI necesita realizar. Los estndares no requieren que el auditor realice un recorrido del proceso. Identificar las debilidades de los controles no es la razn primaria para el recorrido y ocurre tpicamente en una etapa posterior en la auditora, y planear las pruebas sustantivas tambin se hace en una etapa posterior en la auditora.

La norma sobre responsabilidad, autoridad y obligacin de rendir cuentas expresa “La responsabilidad La responsabilidad, autoridad y obligacin de rendir cuentas de las funciones de auditora de los autoridad, y obligaciones de rendir cuentas de la funcin de auditora de los sistemas de informacin deben sistemas de informacin estn debidamente documentadas en una carta o contrato de auditora (Audit ser debidamente documentadas en una carta de auditora o carta compromiso.” Las opciones B y C Charter) y DEBEN ser: son incorrectas porque la carta de auditora debe ser aprobada por la gerencia de mas alto nivel, no La ventaja PRIMARIA de un enfoque continuo de auditora es que: El uso de tcnicas continuas de auditora puede en realidad mejorar la seguridad del sistema cuando se usa en entornos que comparten el tiempo que procesan un gran numero de transacciones, pero dejan muy pocas pistas de papel. La opcin A es incorrecta ya que el enfoque de auditora continua a menudo requiere que un auditor de SI recolecte evidencia sobre la confiabilidad del sistema mientras est llevando a

La directriz para la auditora de SI sobre la planeacin de la auditora de SI establece: “Se debe Los anlisis de riesgos realizados por los auditores de SI son un factor crtico para la planeacin de la hacer un anlisis de riesgo para proveer garanta razonable de que se abarcaran adecuadamente los puntos auditora. Se debe hacer un anlisis del riesgo para proveer: materiales. Este anlisis debe identificar reas con riesgo relativamente alto de existencia de problemas materiales”. Garanta suficiente de que se abarcaran los puntos materiales durante el trabajo de

Los diagramas de flujo de datos son usados por los Auditores de SI para:

Los diagramas de flujo de datos se usan como ayudas para graficar o diagramar el flujo y almacenamiento de datos, con ellos se rastrean los datos desde su origen hasta su destino, resaltando las rutas y el almacenamiento de los datos. Los diagramas de flujo no ordenan los datos en ningn orden jerrquico. El flujo de los datos no coincidir necesariamente con ningn orden jerrquico o de generacin de datos. Monitorear el tiempo (A) y los programas de auditora (D), as como tambin una capacitacin adecuada (B) mejorar la productividad del personal de auditora de SI (eficiencia y desempeo), pero lo que entrega valor a la organizacin son los recursos y esfuerzos que se estn dedicando y que estn concentrados en las reas de mayor riesgo. El software generalizado de auditora facilitar la revisin de todo el archivo para buscar los objetos que satisfagan los criterios de seleccin. El software generalizado de auditora provee acceso a los datos y provee las caractersticas de cmputo, estratificacin, etc. El simulacro paralelo procesa los datos de produccin usando programas de computadora que simulan la lgica de programa de aplicacin y no

Para asegurar que los recursos de auditora entreguen el mejor valor a la organizacin, el PRIMER paso sera:

Para determinar la suma de dlares de los cheques emitidos a cada vendedor en un perodo especificado, el Auditor de SI debe usar:

El software generalizado de auditora facilitara la revisin de todo el archivo de inventario para buscar los Para identificar el valor del inventario que se ha guardado (no han rotado) por ms de ocho semanas, rubros que cumplan los criterios de seleccin. El software generalizado de auditora provee acceso directo a los lo MS probable es que un auditor de datos y provee funciones de cmputo, estratificacin, etc. Los datos de prueba son usados para verificar SI utilice: programas, pero no confirmaran nada sobre las transacciones en cuestin. El uso de mtodos de muestreo Respecto al muestreo, se puede decir que: El muestreo estadstico cuantifica que tan aproximadamente debera una muestra representar a la poblacin, por lo general como un porcentaje. Si el auditor sabe que los controles internos son fuertes, el coeficiente de confianza puede descender. El muestreo es generalmente aplicable cuando la poblacin se refiere a un control tangible o documentado. La opcin C es una descripcin del muestreo detenerse o seguir. La opcin D La planeacin estratgica pone en movimiento los objetivos corporativos o departamentales. La planeacin estratgica est orientada al tiempo y al proyecto, pero debe tambin tratar y ayudar a determinar prioridades para satisfacer las necesidades del negocio. Revisar los planes estratgicos a largo plazo no alcanzara los objetivos expresados por las otras opciones. Se puede comprometer la independencia si el auditor de el desarrollo, adquisicin, e implementacin del sistema que no comprometen la independencia del auditor independencia del auditor de sistemas no compromete sistemas est o ha estado involucrado activamente en de aplicacin. Las opciones B y C son situaciones de sistemas. La opcin D es incorrecta porque la suministrando asesora sobre las mejores prcticas

Revisar los planes estratgicos a largo plazo de la gerencia ayuda al auditor de SI a:

Se asigna a un auditor de sistemas para que realice una revisin de un sistema de aplicacin posterior a la implementacin. Cul de las siguientes situaciones puede haber comprometido la independencia del auditor de sistemas? El auditor de sistemas:

Un auditor de SI debe usar muestreo estadstico y no muestreo de juicio (no estadstico), cuando:

Dada una tasa de error esperado y un nivel de confianza, el muestreo estadstico es un mtodo objetivo de muestreo, que ayuda a un auditor de SI a determinar el tamao de la muestra y a cuantificar la probabilidad de error (coeficiente de confianza). La opcin B es incorrecta porque el riesgo de muestreo es el riesgo de que una muestra no sea representativa de la poblacin. Este riesgo existe tanto para las muestras de

Un auditor de SI descubre evidencia de fraude perpetrado con la identificacin del usuario de Las debilidades de control de contrasea significan que cualquiera de las otras tres opciones podra ser un Gerente. El gerente haba escrito la contrasea, asignada por el administrador del sistema, cierta. La seguridad de contrasea identificara normalmente al perpetrador. En este caso, no establece culpa dentro del cajn/ la gaveta de su escritorio. El auditor de SI debera concluir que el: ms all de la duda

Un Auditor de SI emite un reporte de auditora sealando la falta de funciones de proteccin de firewall en la entrada (gateway) perimetral de la red y recomienda que un vendedor de productos resuelva esta vulnerabilidad. El auditor no ha ejercido:

Cuando un auditor de SI recomienda un vendedor especfico, ellos comprometen su independencia profesional. La independence organizacional no tiene relevancia para el contenido de un reporte de auditora y debe considerarse en el momento de aceptar el compromiso. Las competencias tcnica y profesional no son relevantes para el requerimiento de independencia. Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en lnea de documentacin de red. Otras funciones seran el acceso del usuario a diversos recursos de anfitriones (hosts) de red, la autorizacin del usuario a tener acceso a recursos particulares y la red y las computadoras anfitrionas (hosts) a ser usadas sin acciones o comandos especiales de usuario. Las opciones B, C y D son ejemplos de

Un auditor de SI est efectuando una auditora de un sistema operativo de red. Cul de las siguientes es una funcin de usuario que el auditor de SI debe revisar?

El aprovechamiento de un ID y contrasea de usuario conocidos requiere mnimos conocimientos tcnicos y Un auditor de SI est evaluando una red corporativa en busca de una posible penetracin por expone los recursos de la red a la explotacin parte de empleados internos. Cul de los hallazgos siguientes debera preocupar MS al auditor de(maliciosa ). La barrera tcnica es baja y el impacto puede ser muy elevado; por lo tanto, el hecho de que muchos SI? IDs de usuario tengan contraseas idnticas representa la mayor amenaza. Los mdems externos representan un riesgo de seguridad, pero la explotacin o aprovechamiento an depende del uso de una cuenta vlida de Un auditor de SI est revisando el acceso a una aplicacin para determinar si los 10 formularios &ldquo ;nuevo usuario” ms recientes fueron correctamente autorizados. Este es un ejemplo de: La prueba de cumplimiento determina si los controles se estn aplicando de acuerdo con las polticas. Esto incluye pruebas para determinar si las nuevas cuentas fueron debidamente autorizadas. El muestreo de variables se usa para estimar los valores numricos, tales como valores de dlar. La prueba sustantiva sustancia la integridad del procesamiento real, como por ejemplo los saldos de los estados financieros. El Uno de los factores clave a ser considerados mientras se evalan los riesgos relacionados con el uso de diversos sistemas de informacin son las amenazas y las vulnerabilidades que afectan a los activos. Los riesgos relacionados con el uso de activos de informacin deben ser evaluados aisladamente de los controles instalados. De manera similar, la eficacia de los controles debe ser considerada durante la etapa de mitigacin

Un auditor de SI est revisando la evaluacin del riesgo de la gerencia, de los sistemas de informacin. El auditor de SI debe PRIMERO revisar:

Un auditor de SI evala los resultados de prueba de una modificacin a un sistema que trata conEl auditor de SI debera luego examinar casos donde ocurrieron clculos incorrectos y confirmar los cmputo de pagos. El auditor encuentra que el 50 % de los clculos no coinciden con los totales resultados. Despus de que los clculos hayan sido confirmados, ms pruebas pueden ser llevadas a cabo y predeterminados. Cul de los siguientes es MS probable que sea el siguiente paso en la auditora? revisadas. La preparacin de reportes, hallazgos y recomendaciones no se hara hasta que todos los resultados fueran confirmados. Un auditor de SI ha evaluado los controles en busca de la integridad de los datos en una aplicacin financiera. Cul de los hallazgos siguientes sera el MS significativo? Este es el hallazgo ms significativo ya que afecta directamente la integridad de los datos de la aplicacin y es evidencia de un proceso inadecuado de control de cambios y los derechos de acceso incorrectos al entorno de procesamiento. A pesar de que las copias de respaldo slo una vez por semana es un hallazgo, ello no afecta la integridad de los datos en el sistema. La documentacin incompleta de desarrollo de la aplicacin no afecta la Comparar los totales de control de los datos importados con los totales de control de los datos originales es el siguiente paso lgico, ya que esto confirma la integridad de los datos importados. No es posible confirmar la totalidad (completeness) clasificando los datos importados, porque los datos originales pueden no estar en el orden de clasificacin. Adems la clasificacin no provee totales de control para verificar la totalidad Si las respuestas que se dieron a las preguntas del auditor no fueran confirmadas por los procedimientos documentados o por las descripciones de los puestos de trabajo, el Auditor de SI debe expandir el alcance de las pruebas de los controles e incluir pruebas sustantivas adicionales. No hay evidencias de si los controles que podran existir son adecuados o inadecuados. Poner mayor confianza en las auditoras anteriores o

Un auditor de SI ha importado datos de la base de datos del cliente. El paso siguiente para confirmar si los datos importados estn completos se lleva a cabo:

Un Auditor de SI que entrevista a un empleado de planilla encuentra que las respuestas no respaldan las descripciones de los puestos de trabajo y de los procedimientos documentados. Bajo estas circunstancias, el Auditor de SI debe:

Un auditor de SI que lleva a cabo una revisin del uso y licenciamiento de software descubre que numerosas PCs contienen software no autorizado. Cul de las siguientes acciones debera emprender el auditor de SI?

El uso de software no autorizado o ilegal debe estar prohibido en una organizacin. La piratera de software tiene como consecuencia la exposicin inherente y puede resultar en severas multas. El auditor de SI debe convencer al usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el riesgo. Un auditor de SI no debe asumir la funcin del oficial de cumplimiento niasumir participacin personal alguna para retirar o Un control de revisin de aplicaciones implica la evaluacin de los controles automatizados de la aplicacin y una evaluacin de cualesquiera exposiciones resultantes de las debilidades del control. Las otras opciones pueden ser objetivos de una auditora de aplicacin pero no forman parte de una auditora restringida a una revisin de controles. Un organigrama provee informacin Esto ayuda al auditor de SI a saber trabajo proporcionara informacin informacin sobre el uso de diversos sobre las responsabilidades y la autoridad de personas en la organizacin. si hay una segregacin apropiada de funciones. Un diagrama de flujo de sobre las funciones de diferentes empleados. Un diagrama de red proveer canales de comunicacin e indicar la conexin de los usuarios a la red.

Un auditor de SI que realiza una revisin de los controles de aplicacin evaluara:

Un auditor de SI revisa un organigrama PRIMARIAMENTE

para:

Un auditor de SI revisando la efectividad de los controles de TI, encontr un informe de auditora anterior, sin documentos de trabajo. Cmo debe proceder el auditor de SI?

En ausencia de documentos de trabajo de auditora, un auditor de SI debe volver a probar los controles para ver su efectividad. Sin volver a probar el auditor no estar ejerciendo el debido cuidado profesional mientras realiza la auditora. Los documentos de trabajo pueden ayudar al auditor a eliminar la necesidad de volver a probar; sin embargo, el auditor debe estar preparado para volver a probar los controles. Preguntar a los programadores sobre los procedimientos que se estn siguiendo actualmente es til para determinar si el acceso a la documentacin de programas est restringido a las personas autorizadas. Evaluar los planes de retencin de registros para almacenamiento fuera de las instalaciones pone a prueba los procedimientos de recuperacin, no el control de acceso a la documentacin de programas. Probar los

Un Auditor de sistemas que trate de determinar si el acceso a la documentacin restringido a las personas autorizadas, lo MS probable es que:

de programas est

La CSA se predica sobre la revisin de las reas de alto riesgo que o bien necesitan atencin inmediata o una Un beneficio PRIMARIO para una organizacin que emplea tcnicas de auto evaluacin de controles revisin ms exhaustiva en una fecha posterior. La respuesta B es incorrecta porque la CSA requiere la (control self-assessment-CSA), es que ella: participacin de tanto los auditores como la gerencia de lnea. Lo que ocurre es que la funcin de auditora interna pasa algunas de las responsabilidades de monitoreo de control a las reas funcionales. La respuesta C es Un Contrato de auditora debera: Un contrato de auditora debera establecer los objetivos de la gerencia para, y la delegacin de autoridad a la auditora de SI. Este contrato no debera cambiar de manera significativa con l tiempo y debera ser aprobado al nivel mas alto de la gerencia. El contrato de auditora no estara a un nivel de detalle y por lo tanto no incluira objetivos o procedimientos especficos de auditora. Las vulnerabilidades son un elemento clave en la realizacin de un anlisis de riesgo. La planeacin de la auditora est constituida por procesos de corto y largo plazo que pueden detectar amenazas a los activos de informacin. Los controles mitigan los riesgos asociados con amenazas especficas. Las responsabilidades son parte del negocio y no son un riesgo en forma inherente. Incluir el hallazgo en el reporte final es una prctica de auditora generalmente aceptada. Si se emprende una accin despus de que comenz la auditora y antes de que terminara, el reporte de auditora debe identificar el hallazgo y describir la accin correctiva tomada. Un reporte de auditora debe reflejar la situacin, tal como sta exista en el comienzo de la auditora. Todas las acciones correctivas emprendidas por el auditado

Un elemento clave en un anlisis de riesgo es /son:

Una accin correctiva ha sido tomada por un auditado inmediatamente despus de la identificacin de un hallazgo que debera ser reportado. El auditor debe:

Una prueba integrada (integrated test facility-ITF) se considera una herramienta til de auditora porque:

Una facilidad de prueba integrada se considera una herramienta til de auditora porque usa los mismos programas para comparar el procesamiento usando datos calculados de manera independiente. Esto implica establecer entidades ficticias en un sistema de aplicacin y procesar datos de prueba o de produccin contra la entidad como un medio de verificar el procesamiento adecuado. Una prueba sustantiva incluye recolectar evidencias para evaluar la integridad de las transacciones individuales, de los datos o de otra informacin. Un conteo fsico del inventario de cintas es una prueba sustantiva. Las opciones A, B y D son pruebas de cumplimiento.

Una prueba sustantiva para verificar que los registros de inventario de biblioteca de cintas son correctos, es:

La prueba de cumplimiento determina si los controles se estn aplicando de acuerdo con las polticas. Esto Un auditor de SI est revisando el acceso a una aplicacin para determinar si los 10 incluye pruebas para determinar si las nuevas cuentas fueron debidamente autorizadas. El muestreo de formularios "nuevo usuario" ms recientes fueron correctamente autorizados. Este es un ejemplo de: variables se usa para estimar los valores numricos, tales como valores de dlar. La prueba sustantiva sustancia la integridad del procesamiento real, como por ejemplo los saldos de los estados financieros. El Las decisiones y las acciones de un auditor es MS probable que afecten a cul de los riesgos siguientes? Un riesgo de deteccin est directamente afectado por la seleccin, por parte del auditor, de los procedimientos y tcnicas de auditora. Los riesgos inherentes por lo general no estn afectados por el auditor de SI. Un riesgo de control es controlado por las acciones de la gerencia de la compaa. Los riesgos financieros no estn afectados por el auditor de SI. En esta situacin el auditor de SI debera informar a la gerencia sobre el perjuicio a la independencia para llevar a cabo auditoras posteriores en el rea del auditado. Un auditor de SI puede realizar asignaciones que no sean de auditora cuando la experiencia y conocimientos del auditor pueden ser de utilidad para la gerencia; sin embargo, realizando la asignacin que no es de auditora, el auditor de SI no puede llevar a cabo futuras La opcin A toma en consideracin tanto la probabilidad como la magnitud del impacto y provee la mejor medida del riesgo para un activo. La opcin B provee nicamente la probabilidad de que una amenaza explote una vulnerabilidad en el activo pero no provee la magnitud del posible dao al activo. De manera similar, la opcin C considera solamente la magnitud del dao y no la posibilidad de que una amenaza Una prueba sustantiva confirma la integridad del procesamiento real. Una prueba los registros de la biblioteca de cintas estn establecidos correctamente. Una determina si se estn aplicando los controles de una forma consistente con las de la gerencia. Verificar la autorizacin de los reportes de excepcin, revisar la El riesgo de deteccin es el riesgo concluya que los errores materiales un auditor de SI puede cuantificar cuantificar la probabilidad de error. sustantiva determinara si prueba de cumplimiento polticas y procedimientos autorizacin para cambiar

La alta gerencia ha solicitado que un auditor de SI asista a la gerencia departamental implementacin de los controles necesarios. El auditor de SI debera:

en la

El riesgo general del negocio para una amenaza en particular se puede expresar como:

Cul de las siguientes es una prueba sustantiva?

El uso de procedimientos estadsticos de muestreo ayuda a minimizar el riesgo:

de que el auditor de SI use un procedimiento inadecuado de prueba y no existen, cuando en realidad s existen. Usando muestreo estadstico, con qu aproximacin debe la muestra representar a la poblacin y debe El riesgo de muestreo es el riesgo de que se hagan supuestos incorrectos

Cul de los siguientes es un beneficio de un mtodo de planeacin de auditora basado en el riesgo?

El mtodo basado en el riesgo est diseado para asegurar que el tiempo de auditora sea empleado en las reas de mayor riesgo. El desarrollo de un cronograma de auditora no est dirigido por un mtodo basado en el riesgo. Los cronogramas de auditora pueden ser preparados con meses de anticipacin usando diversos mtodos de cronograma. Un mtodo de riesgo no tiene una correlacin directa con que el personal de auditora

El objetivo PRIMARIO de una funcin de auditora de SI es:

La razn primaria para llevar a cabo auditoras de SI es determinar si un sistema salvaguarda los activos y mantiene la integridad de los datos. Examinar libros de contabilidad es uno de los procesos involucrados en una auditora de SI pero no es el propsito primario. Detectar fraudes podra ser una consecuencia de una auditora de SI pero no es el propsito para el que se realiza una auditora de SI. El uso de software no autorizado o ilegal debe estar prohibido en una organizacin. La piratera de software tiene como consecuencia la exposicin inherente y puede resultar en severas multas. El auditor de SI debe convencer al usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el riesgo. Un auditor de SI no debe asumir la funcin del oficial de cumplimiento niasumir participacin personal alguna para retirar o Las vulnerabilidades son un elemento clave en la realizacin de un anlisis de riesgo. La planeacin de la auditora est constituida por procesos de corto y largo plazo que pueden detectar amenazas a los activos de informacin. Los controles mitigan los riesgos asociados con amenazas especficas. Las responsabilidades son parte del negocio y no son un riesgo en forma inherente. Un contrato de auditora debera establecer los objetivos de la gerencia para, y la delegacin de autoridad a la auditora de SI. Este contrato no debera cambiar de manera significativa con l tiempo y debera ser aprobado al nivel mas alto de la gerencia. El contrato de auditora no estara a un nivel de detalle y por lo tanto no incluira objetivos o procedimientos especficos de auditora. La existencia de controles internos y operativos tendr un peso sobre el enfoque de la auditora por el auditor de SI. En un enfoque basado en el riesgo, el auditor de SI no se esta basando solamente en el riesgo, sino tambin en los controles internos y operativos as como tambin en el conocimiento de la compaa y del negocio. Este tipo de decisin de anlisis del riesgo puede ayudar a relacionar el anlisis costo-beneficio del Una evaluacin completa del riesgo determina el nivel apropiado para un nivel dado de riesgo, mientras que el enfoque de la lnea base aplica meramente un conjunto estndar de proteccin independientemente del riesgo. Hay una ventaja de costo en no sobreproteger la informacin. Sin embargo una ventaja an mayor es asegurarse que ningn activo de informacin esta sobre ni protegido de manera insuficiente. El enfoque de la evaluacin El muestreo de atributos es el mtodo primario de muestreo que se usa para comprobar el cumplimiento. El muestreo de atributos es un modelo de muestreo que se usa para estimar la tasa de ocurrencia de una calidad especifica (atributo) en una poblacin y se usa en la comprobacin de cumplimiento para confirmar si esta calidad existe o no. Las otras elecciones se usan en comprobaciones substantivas que involucran El contrato de auditora tpicamente establece la funcin y la responsabilidad del departamento de auditora interna. Debera establecer los objetivos de la gerencia y la delegacin de autoridad al departamento de auditora. Este se cambia muy pocas veces y no contiene el plan de auditora o el proceso de auditora que es por lo general parte del plan anual de auditora, ni describe un cdigo de conducta profesional ya han sido borrados, podran ser establecer responsabilidad de dar no provee evidencia del correo fijadas respecto a lo que debera

Un auditor de SI que lleva a cabo una revisin del uso y licenciamiento de software descubre que numerosas PCs contienen software no autorizado. Cul de las siguientes acciones debera emprender el auditor de SI?

Un elemento clave en un anlisis de riesgo es /son:

Un Contrato de auditora debera:

En un enfoque de auditora basado en el riesgo, un auditor de SI, adems del riesgo, estara influenciado por la:

La PRINCIPAL ventaja del enfoque de evaluacin del riesgo sobre el enfoque de lnea base para la gerencia de seguridad de informacin es que ste asegura que:

Cul de los mtodos de muestreo es el MS til cuando se pone a prueba su cumplimiento?

El propsito PRIMARIO de un contrato de auditora es:

de respaldo contienen documentos, que supuestamente Cul de las siguientes es la razn MS probable de por qu los sistemas de correo electrnico Los archivos recuperados de estos archivos. Los controles de acceso pueden ayudar a se han convertido en una fuente til de evidencia en litigios? cuenta de la emisin de un documento en particular, pero esto Electrnico. Las normas de clasificacin de datos pueden haber sido

El departamento de SI de una organizacin quiere asegurarse de que los archivos de computadora usados en la instalacin de procesamiento de informacin, estn respaldados adecuadamente para permitir la recuperacin apropiada. Este es un:

Los objetivos de control de SI especifican el conjunto mnimo de controles para asegurar la eficiencia y efectividad en las operaciones y funciones dentro de una organizacin. Los procedimientos de control se desarrollan para proveer una garanta razonable de que se lograran los objetivos especficos. Un control correctivo es una categora de controles, que est dirigida a minimizar la amenaza y/o a remediar los problemas Se puede comprometer la independencia si el auditor de el desarrollo, adquisicin, e implementacin del sistema que no comprometen la independencia del auditor independencia del auditor de sistemas no compromete sistemas est o ha estado involucrado activamente en de aplicacin. Las opciones B y C son situaciones de sistemas. La opcin D es incorrecta porque la suministrando asesora sobre las mejores prcticas

Se asigna a un auditor de sistemas para que realice una revisin de un sistema de aplicacin posterior a la implementacin. Cul de las siguientes situaciones puede haber comprometido la independencia del auditor de sistemas? El auditor de sistemas:

La ventaja PRIMARIA de un enfoque continuo de auditora es que:

El uso de tcnicas continuas de auditora puede en realidad mejorar la seguridad del sistema cuando se usa en entornos que comparten el tiempo que procesan un gran numero de transacciones, pero dejan muy pocas pistas de papel. La opcin A es incorrecta ya que el enfoque de auditora continua a menudo requiere que un auditor de SI recolecte evidencia sobre la confiabilidad del sistema mientras est llevando a cabo Los objetivos de los programas CSA incluyen la educacin para la gerencia de lnea en responsabilidad del control, seguimiento y concentracin de todos en las reas de alto riesgo. Los objetivos de los programas de CSA incluyen el aumento de las responsabilidades de auditora, no el reemplazo de las responsabilidades de auditora. Las opciones C y D son herramientas de CSA y no objetivos.

Cul de los siguientes es un objetivo de un programa de auto evaluacin de control (CSA)?

Una prueba de cumplimiento determina si los controles estn operando como se disearon y si estn siendo Cul de las siguientes pruebas es realizada por un auditor de SI cuando es seleccionada una aplicados en tal forma que cumplan con las polticas y procedimientos de gerencia. Por ejemplo, si al muestra de programas para determinar si las versiones fuentes y las versiones objeto son las mismas? auditor de SI le preocupa si los controles de biblioteca de programas estn funcionando correctamente, el auditor de SI podra seleccionar una muestra de programas para determinar si las versiones fuente y las El propsito PRIMARIO de las pistas de auditora es: Habilitar pistas de auditora ayuda establecer la obligacin de rendir cuentas y la responsabilidad de las transacciones procesadas, rastreando transacciones a travs del sistema. El objetivo de habilitar software para proveer pistas de auditora no es mejorar la eficiencia del sistema, ya que esto implica a menudo un procesamiento adicional que puede en realidad reducir el tiempo de respuesta para los usuarios. Habilitar pistas

El riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya que los Este es un ejemplo de riesgo de deteccin. errores materiales no existen cuando en realidad existen, es un ejemplo de:

En un enfoque de auditora basado en el riesgo, un auditor de SI debera realizar primero una:

El primer paso industria para siguiente paso probados sobre

en un enfoque de auditora basada en el riesgo es recolectar informacin sobre el negocio y la evaluar los riesgos inherentes. Despus de realizar la evaluacin de los riesgos inherentes, el sera realizar una evaluacin de la estructura de control interno. Los controles serian entonces la base de los resultados de prueba, se realizaran las pruebas sustantivas y serian evaluadas.

Respecto al muestreo, se puede decir que:

El muestreo estadstico cuantifica que tan aproximadamente debera una muestra representar a la poblacin, por lo general como un porcentaje. Si el auditor sabe que los controles internos son fuertes, el coeficiente de confianza puede descender. El muestreo es generalmente aplicable cuando la poblacin se refiere a un control tangible o documentado. La opcin C es una descripcin del muestreo detenerse o seguir. La opcin D es una

La evaluacin de riesgos es un proceso:

El lineamiento de auditora de SI sobre el uso de un anlisis del riesgo en la planeacin "Todas las metodologas de anlisis de riesgo se basan en juicios subjetivos en ciento (por ejemplo, para asignar ponderaciones a los diversos parmetros.) El auditor de decisiones subjetivas requeridas para usar una metodologa en particular y considerar

de auditora expresa: momento del proceso SI debe identificar las si estos juicios pueden

La norma sobre responsabilidad, autoridad y obligacin La responsabilidad, autoridad y obligacin de rendir cuentas de las funciones de auditora de los autoridad, y obligaciones de rendir cuentas de la funcin sistemas de informacin estn debidamente documentadas en una carta o contrato de auditora (Audit ser debidamente documentadas en una carta de auditora Charter) y DEBEN ser: incorrectas porque la carta de auditora debe ser aprobada Revisar los planes estratgicos a largo plazo de la gerencia ayuda al auditor de SI a:

de rendir cuentas expresa "La responsabilidad de auditora de los sistemas de informacin deben o carta compromiso." Las opciones B y C son por la gerencia de mas alto nivel, no meramente

La planeacin estratgica pone en movimiento los objetivos corporativos o departamentales. La planeacin estratgica est orientada al tiempo y al proyecto, pero debe tambin tratar y ayudar a determinar prioridades para satisfacer las necesidades del negocio. Revisar los planes estratgicos a largo plazo no alcanzara los objetivos expresados por las otras opciones. Uno de los factores clave a ser considerados mientras se evalan los riesgos relacionados con el uso de diversos sistemas de informacin son las amenazas y las vulnerabilidades que afectan a los activos. Los riesgos relacionados con el uso de activos de informacin deben ser evaluados aisladamente de los controles instalados. De manera similar, la eficacia de los controles debe ser considerada durante la etapa de mitigacin Cuando se disea un plan de auditora, es importante identificar las reas de ms alto riesgo para determinar las reas a ser auditadas. Los conjuntos de habilidades del personal de auditora deberan haberse considerado antes de decidir y de escoger la auditora. Los pasos de prueba para la auditora no son tan crticos como identificar las reas de riesgo, y el tiempo asignado para una auditora est determinado por las

Un auditor de SI est revisando la evaluacin del riesgo de la gerencia, de los sistemas de informacin. El auditor de SI debe PRIMERO revisar:

Al planear una auditora, el paso MS crtico es la identificacin de:

La CSA se predica sobre la revisin de las reas de alto riesgo que o bien necesitan atencin inmediata o una Un beneficio PRIMARIO para una organizacin que emplea tcnicas de auto evaluacin de controles revisin ms exhaustiva en una fecha posterior. La respuesta B es incorrecta porque la CSA requiere la (control self-assessment—CSA), es que ella: participacin de tanto los auditores como la gerencia de lnea. Lo que ocurre es que la funcin de auditora interna pasa algunas de las responsabilidades de monitoreo de control a las reas funcionales. La respuesta C es El grado hasta donde los datos sern recolectados durante una auditora de SI debe relacionarse directamente El grado hasta donde los datos sern recolectados durante una auditora de SI debera ser determinado con el alcance y el propsito de la auditora. Una auditora que tenga un propsito y un alcance estrechos lo basado en: ms probable es que tendra como consecuencia menos recoleccin de datos, que una auditora que tuviera un propsito y un alcance mas amplios. El alcance de una auditora de SI no debera ser restringidos por Cuando se implementan sistemas de monitoreo continuo el PRIMER paso de un auditor de SI es identificar: El primer paso y el ms crtico en el proceso es identificar las reas de alto riesgo dentro de la organizacin. Los gerentes del departamento de negocios y altos ejecutivos estn en las mejores posiciones para ofrecer una opinin respecto a estas reas. Una vez que las reas potenciales de implementacin hayan sido identificadas, se debera realizar una evaluacin del impacto potencial para identificar las aplicaciones que proveen el

La directriz para la auditora de SI sobre la planeacin de la auditora de SI establece: "Se debe hacer un anlisis Los anlisis de riesgos realizados por los auditores de SI son un factor crtico para la planeacin de la de riesgo para proveer garanta razonable de que se abarcaran adecuadamente los puntos materiales. Este auditora. Se debe hacer un anlisis del riesgo para proveer: anlisis debe identificar reas con riesgo relativamente alto de existencia de problemas materiales". Garanta suficiente de que se abarcaran los puntos materiales durante el trabajo de auditora es una proposicin

La funcin PRIMARIA de un auditor de SI durante la fase de diseo del sistema de un proyecto de desarrollo de aplicaciones es:

La funcin del auditor de SI es asegurar que estn incluidos los controles requeridos. A menos que est presente especficamente como un consultor, el auditor de SI no debera participar en diseos detallados. Durante la fase de diseo, la funcin primaria del auditor de SI es asegurar que estn incluidos los controles. A menos que haya algn desvo potencial que reportar, al auditor de SI no le concierne el control de proyecto en esta Las herramientas de deteccin de tendencias /varianzas buscan anomalas en el comportamiento de usuarios o del sistema, por ejemplo, determinando para los documentos prenumerados si los nmeros son secuenciales o incrementales. Las herramientas CASE se usan para asistir en el desarrollo de software. El software integrado de recoleccin de datos (auditora) se usa para tomar muestras y para proveer estadsticas de produccin. Las La prueba de integridad de dominio est dirigida a verificar que los datos se ajusten a las definiciones, i.e., los elementos de datos estn todos en los dominios correctos. El objetivo principal de este ejercicio es verificar que las rutinas de edicin y de validacin estn funcionando de manera satisfactoria. Las pruebas de integridad relacional se realizan a nivel del registro y por lo general implican calcular y verificar diversos campos Este es el hallazgo ms significativo ya que afecta directamente la integridad de los datos de la aplicacin y es evidencia de un proceso inadecuado de control de cambios y los derechos de acceso incorrectos al entorno de procesamiento. A pesar de que las copias de respaldo slo una vez por semana es un hallazgo, ello no afecta la integridad de los datos en el sistema. La documentacin incompleta de desarrollo de la aplicacin no afecta la

En una auditora de SI de varios servidores crticos, el auditor quiere analizar las pistas de auditora para descubrir potenciales anomalas en el comportamiento de usuarios o del sistema. Cul de las herramientas siguientes es la MS adecuada para realizar esa tarea?

Cul de los siguientes podra ser usado por un auditor de SI para validar la efectividad de las rutinas de edicin y de validacin?

Un auditor de SI ha evaluado los controles en busca de la integridad de los datos en una aplicacin financiera. Cul de los hallazgos siguientes sera el MS significativo?

El aprovechamiento de un ID y contrasea de usuario conocidos requiere mnimos conocimientos tcnicos y Un auditor de SI est evaluando una red corporativa en busca de una posible penetracin por expone los recursos de la red a la explotacin parte de empleados internos. Cul de los hallazgos siguientes debera preocupar MS al auditor de (maliciosa ). La barrera tcnica es baja y el impacto puede ser muy elevado; por lo tanto, el hecho de que muchos SI? IDs de usuario tengan contraseas idnticas representa la mayor amenaza. Los mdems externos representan un riesgo de seguridad, pero la explotacin o aprovechamiento an depende del uso de una cuenta vlida de En un servidor crtico, un auditor de SI descubre un caballo de Troya que fue producido porLa prioridad es salvaguardar el sistema; por lo tanto, el auditor de SI debera sugerir controles correctivos, un virus conocido que explota una vulnerabilidad de un sistema operativo. Cul de los siguientes i.e., eliminar el cdigo. El auditor de SI no es responsable de investigar el virus. El auditor de SI puede analizar la informacin del virus y determinar si ste ha afectado el sistema operativo, pero esta es una tarea debera hacer PRIMERO un auditor? investigativa que tendra lugar despus de asegurarse que el cdigo malicioso ha sido eliminado. Instalar el Cul de las siguientes es la ventaja PRINCIPAL de usar software forense de computacin para las investigaciones? El objetivo primario del software forense es preservar la evidencia electrnica para satisfacer las reglas de evidencia. Los ahorros en tiempo y en costos, opcin B, y la eficiencia y la eficacia, opcin C, son preocupaciones legtimas y diferencian a los paquetes buenos de los paquetes deficientes de software forense. La capacidad de investigar las violaciones de los derechos de propiedad intelectual, opcin D, es un ejemplo de

Comparar los totales de control de los datos importados con los totales de control de los datos originales es el Un auditor de SI ha importado datos de la base de datos del cliente. El paso siguiente para confirmar siguiente paso lgico, ya que esto confirma la integridad de los datos importados. No es posible confirmar la si los datos importados estn completos se lleva a cabo: totalidad (completeness) clasificando los datos importados, porque los datos originales pueden no estar en el orden de clasificacin. Adems la clasificacin no provee totales de control para verificar la totalidad Las caractersticas del software El vicepresidente de recursos humanos ha solicitado una auditora para identificar los sobrepagos anlisis estadstico, verificacin de planilla/nmina para el ao anterior. usando software generalizado Cul sera la MEJOR tcnica de auditora para usar en esta situacin? planilla/nmina y, de ese modo, generalizado de auditora incluyen cmputos matemticos, estratificacin, de secuencia, verificacin de duplicados y reclculos. El auditor de SI, de auditora, podra disear pruebas apropiadas para recalcular la determinar si hubo sobrepagos, y a quines fueron efectuados. Los datos

Durante una auditora de seguridad de procesos de TI, un auditor de SI encontr que no haba procedimientos de seguridad documentados. El auditor de SI debe:

Uno de los principales objetivos de una auditora es identificar los riesgos potenciales; por lo tanto, el mtodo ms proactivo sera identificar y evaluar las prcticas existentes de seguridad que la organizacin est siguiendo. Un auditor de SI no debe preparar documentacin, y si lo hiciera, su independencia estara en peligro. Dar por terminada la auditora puede impedir que se logren los objetivos de la auditora, es La eficacia de los datos de prueba est determinada por la extensin de la cobertura de todos los controles clave a ser probados. Si los datos de prueba no cubren todas las condiciones vlidas y no vlidas, hay un riesgo de que la debilidad de control relevante pueda seguir sin ser detectada. Los cambios en el programa, por el perodo cubierto por la auditora, pueden haberse efectuado para depurar o para funcionalidades adicionales. Es importante que un auditor de SI identifique y evale los controles y la seguridad existentes una vez que las amenazas potenciales y los impactos posibles estn identificados. Al concluirse una auditora, un auditor de SI debe describir y discutir con la gerencia las amenazas y los impactos potenciales sobre los activos. No reportar una intrusin es equivalente a un auditor de SI que esconde una intrusin maliciosa, lo cual sera un error profesional. A pesar de que puede requerirse la notificacin a la polica y que la falta de un examen peridico de derechos de acceso podra ser una preocupacin, ellos no representan una preocupacin tan grande como la de dejar de reportar un ataque. Reportar al pblico no es un requisito y Entender los requerimientos del negocio es clave para definir los niveles de servicio. Mientras que cada una de las otras entidades enumeradas puede suministrar alguna definicin la mejor eleccin aqu es el gerente de unidad de negocio, debido a los amplios conocimientos que tiene esta persona sobre los requerimientos relacionados con la organizacin. La evidencia obtenida de terceros independientes casi siempre es considerada la ms confiable. Las respuestas B, C y D no serian consideradas confiables.

Cul de los siguientes es el MAYOR desafo al utilizar datos de prueba?

En el curso de la realizacin de un anlisis de riesgo, un auditor de SI ha identificado amenazas e impactos potenciales. Inmediatamente despus, un auditor de SI debe:

Cul de las siguientes debe ser la MAYOR preocupacin para un auditor de SI?

Durante una revisin de los controles sobre el proceso de definir los niveles de servicios de TI, un auditor de SI entrevistara MS probablemente al:

Cul de las siguientes opciones sera normalmente la evidencia MS confiable para un auditor?

Cul de los siguientes describe MEJOR una prueba integrada (integrated test facility&mdash ;ITF )?

La respuesta proceso de aplicacin de las respuestas

A describe mejor una prueba integrada (integrated test facility—ITF), que es un auditora especializado asistido por computadora que permite que auditor de SI pruebe una manera continua. La respuesta B es un ejemplo de un archivo de revisin de control de sistemas; C y D son ejemplos de instantneas.

Cuando se evala el efecto colectivo de los controles preventivos de deteccin o correctivos dentro de un proceso, un auditor de SI debera estar consciente:

Un auditor de SI debera concentrarse en cuando los controles son ejercidos como flujos de datos a travs del sistema de computadora. La opcin B es incorrecta ya que los controles correctivos pueden ser tambin relevantes. La opcin C es incorrecta ya que los controles correctivos eliminan o reducen los efectos de los errores o irregularidades y son considerados exclusivamente como controles compensatorios. La opcin D es

Un auditor de SI descubre evidencia de fraude perpetrado con la identificacin del usuario de Las debilidades de control de contrasea significan que cualquiera de las otras tres opciones podra ser un Gerente. El gerente haba escrito la contrasea, asignada por el administrador del sistema, dentro cierta. La seguridad de contrasea identificara normalmente al perpetrador. En este caso, no establece culpa del cajn/ la gaveta de su escritorio. El auditor de SI debera concluir que el: ms all de la duda.

Qu tcnica de auditora provee la MEJOR evidencia de la segregacin de funciones en un departamento de SI?

Observando el personal de SI cuando realiza operaciones no compatibles y entrevistando el tareas realizadas. Basado en las observaciones La gerencia no puede estar en conocimiento de Como el nombre no detectar duplicaciones entonces seguidamente direcciones. Buscar los

sus tareas, el auditor de SI puede identificar si ellos estn realizando personal de SI el auditor puede obtener un panorama general de las y entrevistas, el auditor puede evaluar la segregacin de funciones. las funciones detalladas de cada empleado en el departamento de SI

Durante una revisin de un archivo maestro de clientes, un auditor de SI descubri numerosas duplicaciones de nombre de cliente que surgan de variaciones en los primeros nombres del cliente. Para determinar la extensin de la duplicacin, el auditor de SI usara:

es el mismo ( debido a variaciones de los primeros nombres ), un mtodo para seria comparar otros campos comunes, como por ejemplo las direcciones Y podra llevarse a cabo una revisin para determinar los nombres de los clientes en estas nmeros de cuenta duplicados probablemente no hallara duplicaciones de nombres ya

La mejor fuente de la cual extraer cualquier ejemplo o prueba de un sistema de informacin es el sistema Cul de las siguientes sera la MEJOR poblacin de la cual tomar una muestra cuando un programa en automatizado. Las bibliotecas de produccin representan ejecutables que estn aprobados y autorizados para pruebas cambia? procesar los datos de la organizacin. Los listados de programa fuente serian intensivos en el tiempo. Las solicitudes de cambio de programa son los documentos usados para iniciar el cambio. No hay ninguna garanta de Una prueba integrada (integrated test facility—ITF) auditora porque: se considera una herramienta til de

Una facilidad de prueba integrada se considera una herramienta til de auditora porque usa los mismos programas para comparar el procesamiento usando datos calculados de manera independiente. Esto implica establecer entidades ficticias en un sistema de aplicacin y procesar datos de prueba o de produccin contra la entidad como un medio de verificar el procesamiento adecuado.

El software generalizado de auditora facilitara la revisin de todo el archivo de inventario para buscar los rubros Para identificar el valor del inventario que se ha guardado (no han rotado) por ms de ocho semanas, que cumplan los criterios de seleccin. El software generalizado de auditora provee acceso directo a los datos y lo MS probable es que un auditor de provee funciones de cmputo, estratificacin, etc. Los datos de prueba son usados para verificar programas, pero SI utilice: no confirmaran nada sobre las transacciones en cuestin. El uso de mtodos de muestreo estadstico no Los diagramas de flujo de datos son usados por los Auditores de SI para: Los diagramas de flujo de datos se usan como ayudas para graficar datos, con ellos se rastrean los datos desde su origen hasta su destino, los datos. Los diagramas de flujo no ordenan los datos en ningn coincidir necesariamente con ningn orden jerrquico o de generacin

o diagramar el flujo y almacenamiento de resaltando las rutas y el almacenamiento de orden jerrquico. El flujo de los datos no de datos.

Cul de las siguientes formas de evidencia para el auditor se considerara la MS confiable?

La evidencia obtenida de fuentes externas es por lo general ms confiable que la obtenida desde dentro de la organizacin. Las cartas de confirmacin recibidas desde el exterior, como por ejemplo las usadas para verificar los balances de cuentas por cobrar, son por lo general altamente confiables. La prueba realizada por un auditor no puede ser confiable si el auditor no tenia un buen entendimiento del rea tcnica bajo revisin. Un organigrama provee informacin Esto ayuda al auditor de SI a saber trabajo proporcionara informacin informacin sobre el uso de diversos

Un auditor de SI revisa un organigrama PRIMARIAMENTE

para:

sobre las responsabilidades y la autoridad de personas en la organizacin. si hay una segregacin apropiada de funciones. Un diagrama de flujo de sobre las funciones de diferentes empleados. Un diagrama de red proveer canales de comunicacin e indicar la conexin de los usuarios a la red.

Un auditor de SI est efectuando una auditora de un sistema operativo de red. Cul de las siguientes es una funcin de usuario que el auditor de SI debe revisar?

Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en lnea de documentacin de red. Otras funciones seran el acceso del usuario a diversos recursos de anfitriones (hosts) de red, la autorizacin del usuario a tener acceso a recursos particulares y la red y las computadoras anfitrionas (hosts) a ser usadas sin acciones o comandos especiales de usuario. Las opciones B, C y D son ejemplos de

Cul de los siguientes pasos realizara PRIMERO un auditor de SI normalmente en una revisin de seguridad del centro de datos?

Durante la planeacin, el auditor de SI debera obtener una visin general de las funciones que estn siendo auditadas y evaluar los riesgos de auditora y de negocios. Las opciones A y D son parte del proceso de trabajo de campo de la auditora que ocurre posterior a esta planeacin y preparacin. La opcin C no es parte de una revisin de seguridad. Preguntar a los programadores sobre los procedimientos que se estn siguiendo actualmente es til para determinar si el acceso a la documentacin de programas est restringido a las personas autorizadas. Evaluar los planes de retencin de registros para almacenamiento fuera de las instalaciones pone a prueba los procedimientos de recuperacin, no el control de acceso a la documentacin de programas. Probar los Una prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prueba simultneamente con la entrada en vivo. Su ventaja es que las pruebas peridicas no requieren procesos separados de prueba. Sin embargo, es necesaria una planeacin cuidadosa y los datos de prueba deben ser aislados de los datos de produccin. Una herramienta de instantnea (snapshot) es ms til cuando se requiere una pista de auditora. ITF puede usarse para incorporar transacciones de prueba en una corrida normal de produccin. CIS es til cuando las transacciones que renen ciertos criterios necesitan ser examinadas. Los ganchos de auditora son tiles cuando slo se necesita examinar transacciones o procesos escogidos.

Un Auditor de sistemas que trate de determinar si el acceso a la documentacin restringido a las personas autorizadas, lo MS probable es que:

de programas est

Cul de los siguientes es una ventaja de una prueba integrada (ITF)?

Cul de las siguientes herramientas de auditora es la MS importante para un auditor de SI cuando se requiere una pista de auditora?

Un auditor de SI evala los resultados de prueba de una modificacin a un sistema que trata conEl auditor de SI debera luego examinar casos donde ocurrieron clculos incorrectos y confirmar los cmputo de pagos. El auditor encuentra que el 50 % de los clculos no coinciden con los totalesresultados. Despus de que los clculos hayan sido confirmados, ms pruebas pueden ser llevadas a cabo y predeterminados. Cul de los siguientes es MS probable que sea el siguiente paso en la auditora? revisadas. La preparacin de reportes, hallazgos y recomendaciones no se hara hasta que todos los resultados fueran confirmados. El MEJOR mtodo de probar la exactitud de un sistema de clculo de impuestos es: Preparar transacciones simuladas para procesar y comparar los resultados con resultados predeterminados es el MEJOR mtodo para probar la correccin de un clculo de impuestos. La revisin visual detallada, la creacin de diagramas de flujo y el anlisis de cdigo fuente no son mtodos efectivos, y los totales mensuales no resolveran la exactitud de clculos individuales de impuestos. Un control de revisin de aplicaciones implica la evaluacin de los controles automatizados de la aplicacin y una evaluacin de cualesquiera exposiciones resultantes de las debilidades del control. Las otras opciones pueden ser objetivos de una auditora de aplicacin pero no forman parte de una auditora restringida a una revisin de controles. El auditor de SI es en ltima instancia responsable ante la alta gerencia y ante el comit de auditora de la junta directiva. Incluso si el auditor de SI debe discutir los hallazgos con el personal de gerencia de la entidad auditada (opcin B), ello se hace nicamente para obtener acuerdo sobre los hallazgos y para desarrollar un curso de accin correctiva. La opcin C es incorrecta porque el director de auditora de SI debe revisar el reporte Incluir el hallazgo en el reporte final es una prctica de auditora generalmente aceptada. Si se emprende una accin despus de que comenz la auditora y antes de que terminara, el reporte de auditora debe identificar el hallazgo y describir la accin correctiva tomada. Un reporte de auditora debe reflejar la situacin, tal como sta exista en el comienzo de la auditora. Todas las acciones correctivas emprendidas por el auditado

Un auditor de SI que realiza una revisin de los controles de aplicacin evaluara:

Cuando comunican los resultados de auditora, los auditores de SI deben recordar que en ltima instancia ellos son los responsables ante:

Una accin correctiva ha sido tomada por un auditado inmediatamente despus de la identificacin de un hallazgo que debera ser reportado. El auditor debe:

Durante una revisin de implementacin de una aplicacin distribuida multiusuario, el auditor Las debilidades individualmente son de menor importancia, sin embargo, juntas tienen el potencial de de SI encuentra debilidades menores en tres reas—La disposicin inicial de parmetros debilitar sustancialmente la estructura general de control. Las opciones A y D reflejan una falla de parte del est instalada incorrectamente, se estn usando contraseas dbiles y algunos reportes vitales auditor de SI para reconocer el efecto combinado de la debilidad de control. Advertir al gerente local sin no se estn verificando debidamente. Mientras se prepara el informe de auditora, el auditor de SIreportar los hechos y observaciones ocultara los hallazgos de los otras partes interesadas. La funcin tradicional de un auditor de SI en una autoevaluacin de control (control selfassessment—CSA) debe ser la de Cuando se establecen los programas de CSA, los auditores de SI se convierten en profesionales de control interno y en facilitadores de evaluaciones. Los auditores de SI son los facilitadores y el cliente (gerencia y personal) es el participante en el proceso de CSA. Durante un taller de CSA, en vez de que el auditor de SI realice procedimientos detallados de auditora, debera conducir y orientar a los clientes para En ausencia de documentos de trabajo de auditora, un auditor de SI debe volver a probar los controles para ver su efectividad. Sin volver a probar el auditor no estar ejerciendo el debido cuidado profesional mientras realiza la auditora. Los documentos de trabajo pueden ayudar al auditor a eliminar la necesidad de volver a probar; sin embargo, el auditor debe estar preparado para volver a probar los controles.

Un auditor de SI revisando la efectividad de los controles de TI, encontr un informe de auditora anterior, sin documentos de trabajo. Cmo debe proceder el auditor de SI?

Para desarrollar una estrategia de auditora basada en el riesgo, es crtico que se entiendan los riesgos y Cuando se est desarrollando una estrategia de auditora basada en el riesgo, un auditor de SI vulnerabilidades. Esto determinar las reas a ser auditadas y la extensin de la cobertura. Entender si los debe llevar a cabo una evaluacin del riesgo para asegurar que: controles apropiados requeridos para mitigar los riesgos estn instalados es un efecto resultante de una auditora. Los riesgos de auditora son aspectos inherentes de la auditora, estn directamente En los casos en que hay desacuerdo, durante una entrevista de salida, respecto al impacto de un hallazgo, el auditor de SI debe: Si los auditados no estuvieran elabore y aclare los riesgos y magnitud de la exposicin. de que el auditor de SI de acuerdo con el impacto de un hallazgo, es importante que el auditor de SI exposiciones, ya que es posible que los auditados no aprecien totalmente la La meta debe ser explicar a los auditados o descubrir nueva informacin puede no haber estado en conocimiento. Cualquier cosa que parezca

El xito de la autoevaluacin de control (CSA) depende en gran medida de:

El objetivo primario de un programa de CSA es repaldar la funcin de auditora interna pasando algunas de las responsabilidades de monitoreo de control a los gerentes de lnea del rea funcional. El xito de un programa de autoevaluacin de control (CSA) depende del grado en el que los gerentes de lnea asumen la responsabilidad de los controles. Las opciones B, C y D son caractersticas de un mtodo tradicional de Monitorear el tiempo (A) y los programas de auditora (D), as como tambin una capacitacin adecuada (B) mejorar la productividad del personal de auditora de SI (eficiencia y desempeo), pero lo que entrega valor a la organizacin son los recursos y esfuerzos que se estn dedicando y que estn concentrados en las reas de mayor riesgo.

Para asegurar que los recursos de auditora entreguen el mejor valor a la organizacin, el PRIMER paso sera:

En una auditora de una aplicacin de inventario, qu mtodo proveer la MEJOR evidencia de que Para determinar la validez de la orden de compra, probar los controles de acceso proveer la mejor evidencia. Las opciones B y C estn basadas en mtodos posteriores al hecho, y la opcin D no sirve al propsito las rdenes de compra son vlidas? porque lo que est en la documentacin del sistema puede no ser lo mismo que lo que est ocurriendo. Dada una tasa de error esperado y un nivel de confianza, el muestreo estadstico es un mtodo objetivo de muestreo, que ayuda a un auditor de SI a determinar el tamao de la muestra y a cuantificar la probabilidad de error (coeficiente de confianza). La opcin B es incorrecta porque el riesgo de muestreo es el riesgo de que una muestra no sea representativa de la poblacin. Este riesgo existe tanto para las muestras de

Un auditor de SI debe usar muestreo estadstico y no muestreo de juicio (no estadstico), cuando:

Cul de las siguientes tcnicas en lnea es ms efectiva para la deteccin temprana de errores o irregularidades?

La tcnica del gancho de auditora implica integrar cdigo en los sistemas de aplicacin para el examen de transacciones seleccionadas. Esto ayuda al auditor de SI a actuar ante un error o una irregularidad se sale de control. Un modulo integrado de auditora implica integrar software escrito especialmente en el sistema anfitrin de aplicacin de la organizacin para que los sistemas de aplicacin sean monitoreados de El primer paso para evaluar los controles de monitoreo de la red debe ser la revisin de la adecuacin de documentacin de red, especficamente los diagramas de topologa. Si esta informacin no est actualizada, entonces los procesos de monitoreo y la capacidad para diagnosticar los problemas no sern efectivos. Lo primero que un auditor de SI debe hacer despus de detectar el virus es alertar sobre su presencia a la organizacin, luego esperar la respuesta de sta. La opcin A se debe emprender despus de la opcin C. Esto permitir al auditor de SI examinar la funcionalidad y la efectividad del sistema de respuesta. El auditor de SI no debe hacer cambios al sistema que est siendo auditado, y asegurar la eliminacin del virus es una Con una poltica de registros de e-mail bien archivados, es posible el acceso a o la recuperacin de registros de e-mails especficos, sin revelar otros registros de e-mail confidenciales. Las polticas de seguridad y/o polticas de auditora no resolveran la eficiencia de recuperacin de registros, y destruir e-mails puede ser un acto ilegal. Un proceso de medicin del desempeo/performancia de TI puede usarse para optimizar el desempeo/performancia, medir y administrar productos /servicios, asegurar la responsabilidad y tomar decisiones de presupuesto. Minimizar errores es un aspecto del desempeo/performancia, pero no es el objetivo primario de la administracin del

Cuando se evala el diseo de los controles de monitoreo de red, un auditor de SI debe PRIMERO revisar:

Al llevar a cabo una auditora, un auditor de SI detecta la presencia de un virus. Cul debe ser el siguiente paso del auditor de SI?

Los riesgos asociados con recopilar evidencia electrnica es MS probable que se reduzcan, en el caso de un e-mail, por una:

Cul de los siguientes es el objetivo PRIMARIO de un proceso de medicin de desempeo/performancia de TI?

Un mtodo de abajo hacia arriba comienza por definir los requerimientos y polticas de nivel operativo, que se La ventaja de un mtodo de abajo hacia arriba para el desarrollo de polticas organizativas es que las derivan y se implementan como el resultado de evaluaciones de riesgo. Las polticas a nivel de la empresa se polticas: desarrollan posteriormente con base en una sntesis de las polticas operativas existentes. Las opciones A, C y D son ventajas de un mtodo de arriba hacia abajo para desarrollar polticas organizativas. Este mtodo asegura Para soportar las metas de una organizacin, el departamento de SI debe tener: Para asegurar su contribucin a la realizacin de las metas generales de una organizacin, el departamento de SI debe tener planes de largo y corto plazo que sean consistentes con los planes ms amplios de la organizacin para alcanzar sus metas. Las opciones A y C son objetivos, y se necesitaran planes para delinear cmo se alcanzara cada uno de los objetivos. La opcin D podra ser parte del plan general pero se requerira para La funcin de un comit de seguimiento de TI es asegurar que el departamento de SI est en armona con la misin y los objetivos de la organizacin. Para asegurar esto, el comit debe determinar si los procesos de TI soportan los requerimientos del negocio. Analizar la funcionalidad adicional propuesta, y evaluar tanto la estabilidad del software como la complejidad de la tecnologa, son aspectos demasiado estrechos en Desde una perspectiva de control, la descripcin de un trabajo debe establecer responsabilidad y deber de reportar/imputabilidad (accountability). Esto ayudar a asegurar que se d a los usuarios acceso al sistema en conformidad con las responsabilidades definidas de su trabajo. <br><br>Las otras opciones no estn directamente relacionadas con los controles. Proveer instrucciones sobre cmo hacer el trabajo y definir

Un comit de seguimiento de TI revisara los sistemas de informacin PRIMARIAMENTE determinar:

Desde una perspectiva de control, el elemento clave en las descripciones de trabajos es que:

El efecto MS probable de la falta de participacin de la alta gerencia en la planeacin estratgica de Debe existir un comit de seguimiento para asegurar que las estrategias de TI soporten las metas de la organizacin. La ausencia de un comit de tecnologa de informacin o un comit no compuesto de altos TI es: gerentes sera una indicacin de falta de participacin de la alta gerencia. Esta condicin aumentara el riesgo de que TI no est a la altura de la estrategia de la organizacin. Cul de lo siguiente proveera MEJOR garanta de la integridad del nuevo personal? Una investigacin de los antecedentes es el mtodo primario para asegurar la integridad de un prospectivo miembro del personal. Las referencias son importantes y sera necesario verificarlas, pero no son tan fiables como la investigacin de los antecedentes. La fianza est referenciando al cumplimiento de la debida diligencia, no a la integridad, y las calificaciones/habilidades indicadas en un rsum/curriculum Sin una poltica que defina quin tiene la responsabilidad de otorgar acceso a sistemas especficos, hay un mayor riesgo de que uno pueda obtener (se le pueda dar a uno) acceso al sistema cuando de hecho esa persona no debera tener autorizacin. La asignacin de autoridad para otorgar acceso a usuarios especficos, implica una mejor probabilidad de que los objetivos del negocio sern debidamente respaldados. La orientacin del negocio debe ser el auditora de las polticas de seguridad de seguridad y control de TI y relacionadas polticas estn disponibles para todos es un tema principal al implementar la seguridad. Por ello, TI debe primordialmente concentrarse en si las polticas respaldan los objetivos del negocio y de TI. Revisar si objetivo, pero la distribucin no asegura el cumplimiento. una de las La

Cul de los siguientes es el MAYOR riesgo de la definicin de una poltica inadecuada para propiedad de datos y de sistemas?

El objetivo PRIMARIO de una auditora de las polticas de seguridad de TI es asegurar que:

Los objetivos de control de TI son tiles para los auditores de SI, ya que ellos proveen la base para entender:

Un objetivo de control de TI se define como la declaracin del resultado deseado o el propsito a ser alcanzado implementando procedimientos de control en una actividad particular de TI. Ellos proveen los objetivos verdaderos para implementar controles y pueden o no ser las mejores prcticas. Las tcnicas son el medio de alcanzar un objetivo, y una poltica de seguridad es un subconjunto de objetivos de control de TI. La integracin de SI y del personal de negocios en los proyectos es un aspecto operativo y debe ser considerado mientras se revisa el plan de corto plazo. Un plan estratgico proveera un marco para el plan de corto plazo de SI. Las opciones B, C y D son reas cubiertas por un plan estratgico. Las reconciliaciones de control de lote son un ejemplo de controles compensatorios. Otros ejemplos de controles compensatorios son las bitcoras de transacciones, las pruebas de razonabilidad, las revisiones independientes y las pistas de auditora tales como bitcoras de consola, bitcoras de biblioteca y la fecha de contabilidad del trabajo. Las verificaciones de secuencia y los dgitos de verificacin son ediciones de El comit de direccin de SI tpicamente sirve como una junta general de revisin para los principales proyectos de SI y no debe involucrarse en operaciones de rutina, por lo tanto, una de sus funciones es aprobar y monitorear los principales proyectos, la situacin de los planes y presupuestos de SI. El control de cambio de vendedor es un aspecto de outsourcing y debe ser monitoreado por la gerencia de SI. Asegurar una separacin El cambio requiere que se implementen y ejecuten buenos procesos de administracin de cambios. Hacer un outsourcing a la funcin de SI no est directamente relacionado con la velocidad de cambio tecnolgico. El personal en un departamento tpico de SI est altamente calificado y educado, por lo general no siente que sus puestos de trabajo estn en riesgo y estn preparados para cambiar de trabajo con frecuencia.

Al revisar el plan de corto plazo (tctico) de SI, el auditor de SI debe determinar si:

Cul de los siguientes sera un control compensatorio para mitigar los riesgos resultantes de una segregacin inadecuada de funciones?

Cul de los siguientes es una funcin de un comit de direccin de SI?

La velocidad de cambio de la tecnologa aumenta la importancia de:

Una organizacin que adquiere otros negocios contina sus sistemas heredados de EDI, y usa Los acuerdos escritos asistiran a la gerencia a asegurar el cumplimiento de los requerimientos externos. de cumplimiento, ello no se puede lograr tres proveedores separados de red de valor agregado (VAN). No existe ningn acuerdo escrito de Mientras que la gerencia debe obtener garanta independiente hasta que exista un contrato. Un aspecto de administrar servicios de terceros es proveer monitoreo, sin VAN. El auditor de SI debe recomendar a la gerencia que: embargo, esto no se puede lograr hasta que exista un contrato. Asegurar que se disponga de acuerdos de Cul de los siguientes reportes debe utilizar un auditor para verificar el cumplimiento de un requerimiento de acuerdo de nivel de servicio (SLA) para tiempo productivo ? La inactividad de SI como por ejemplo el tiempo improductivo, es tratada por los reportes de disponibilidad. Estos reportes proveen los perodos de tiempo durante los cuales la computadora estuvo disponible para ser utilizada por los usuarios o por otros procesos. Los reportes de utilizacin documentan el uso de equipos de computadora, y pueden ser usados por la gerencia para predecir cmo /dnde /cundo se requieren Es responsabilidad de la gerencia de unidad sistema automatizado. Ellos son el mejor grupo necesitan ser asegurados en trminos administradores de sistemas se ocupan de los de negocio implementar controles eficientes en costos en un en una organizacin que sabe qu activos de informacin de disponibilidad, confidencialidad e integridad. Los servicios relacionados con los requerimientos del sistema del

La implementacin de controles eficientes en costos en un sistema automatizado es en ltima instancia responsabilidad de:

Un auditor de SI encuentra que no todos los empleados tienen conocimiento de la poltica de Todos los empleados deben tener conocimiento de la poltica de seguridad de la empresa para prevenir la revelacin no intencional de informacin sensitiva. La capacitacin es un control preventivo. Los programas seguridad de informacin de la empresa. El auditor de SI debe concluir que: de concientizacin de la seguridad para los empleados puede prevenir la revelacin no intencional de informacin sensitiva a personas ajenas. Un auditor de SI revisa un organigrama PRIMARIAMENTE para: Un organigrama provee informacin Esto ayuda al auditor de SI a saber trabajo proporcionara informacin informacin sobre el uso de diversos sobre las responsabilidades y la autoridad de personas en la organizacin. si hay una segregacin apropiada de funciones. Un diagrama de flujo de sobre las funciones de diferentes empleados. Un diagrama de red proveer canales de comunicacin e indicar la conexin de los usuarios a la red.

Cul de las siguientes funciones debe ser realizada por los dueos de aplicacin para asegurar una El dueo de aplicacin es responsable de autorizar el acceso a los datos. El desarrollo y programacin de aplicaciones son funciones del departamento de SI. En forma similar, el anlisis de sistemas debe ser segregacin adecuada de tareas entre SI y los usuarios finales? efectuado por personas calificadas de SI que tengan conocimientos de SI y de los requerimientos del usuario. La administracin de datos es una funcin especializada relacionada con los sistemas de administracin Cuando un empleado es despedido de su servicio, la accin MS importante es: Existe una probabilidad de que un empleado despedido pueda hacer mal uso de los derechos de acceso, por lo tanto, inhabilitar el acceso lgico de un empleado terminado es la accin ms importante que se debe emprender. Todo el trabajo del empleado terminado necesita ser entregado a un empleado designado, sin embargo, esto debe efectuarse despus de implementar la opcin D. Se debe hacer copia de respaldo

El departamento de IS debe considerar especficamente la forma en que se asignan los recursos en el Qu es lo que un auditor de sistemas considerara MS relevante para la planificacin de corto plazo corto plazo. Las inversiones en TI necesitan estar alineadas con las estrategias principales de la para el departamento de IS? administracin, en lugar de concentrarse en la tecnologa por la tecnologa en s misma. Llevar a cabo estudios de auto evaluacin de control y evaluar las necesidades de hardware no es tan crtico como asignar los recursos Cul de las metas siguientes esperara usted encontrar en el plan estratgico de una organizacin? La planeacin estratgica pone en movimiento objetivos corporativos o departamentales. La planeacin comprehensiva ayuda a asegurar una organizacin efectiva y eficiente. La planeacin estratgica est orientada al tiempo y a los proyectos, pero tambin debe resolver y ayudar a determinar prioridades para satisfacer las necesidades del negocio. Los planes de largo y corto plazo deberan ser consistentes con los planes

El paso inicial para establecer un programa de seguridad de informacin es:

Una declaracin de poltica refleja la intencin y el respaldo brindado por la gerencia ejecutiva para una seguridad apropiada y establece un punto de inicio para desarrollar el programa de seguridad.

Cul de los siguientes se encontrara normalmente en los manuales ejecucin de aplicaciones?

Los manuales de ejecucin de aplicaciones deberan incluir acciones que deben ser emprendidas por un operador cuando ocurre un error. Los documentos fuente y el cdigo fuente son irrelevantes para el operador. A pesar de que los diagramas de flujo de datos pueden ser tiles, los diagramas detallados de programa y las definiciones de archivo no lo son. En un ambiente de outsourcing, es crtico que se monitoree el compaa los servicios que se requerimientos contractuales. la compaa depende del desempeo del proveedor del servicio. Por esta razn, desempeo del proveedor de outsourcing para asegurar que ste preste a la requieran. El pago de las facturas es una funcin financiera que se hara por Participar en el diseo de sistemas es un subproducto del monitoreo del

De las funciones siguientes, cul es la funcin MS importante que debe realizar la administracin de TI cuando se ha dado un servicio para realizarse por outsourcing?

Cul de las siguientes funciones sera una preocupacin si se efectuara junto con administracin de sistemas?

Un administrador de sistema realiza diversas funciones usando el admin/raz o un login equivalente. Este login permite al administrador de sistema tener un acceso ilimitado a los recursos del sistema. El nico control sobre las actividades del administrador de sistema es la pista de auditora del sistema, es por eso que sta debera ser revisada por otro que no sea el administrador de sistema. El mantenimiento de las reglas de acceso, las El establecimiento de perodos contables es una de las actividades crticas de la funcin de finanzas. Otorgar acceso a esta funcin al personal en el almacn y en el ingreso de rdenes podra ser a causa de una falta de polticas y procedimientos apropiados para la segregacin adecuada de funciones. Los perodos contables no deberan ser cambiados a intervalos regulares, sino que se deberan establecer de manera permanente. El La verificacin peridica de los discos duros sera el mtodo ms efectivo de identificar los paquetes de software ilegal cargados a la red. El software antivirus no identificar necesariamente el software ilegal a menos que el software contenga un virus. Las estaciones de trabajo sin disco duro actan como un control preventivo y no son efectivas ya que los usuarios podra an as cargar software desde otras estaciones de efectiva, una poltica de seguridad de informacin debera llegar a todos los miembros del Almacenar la poltica de seguridad fuera del sitio o en un lugar seguro puede ser aconsejable pero valor si su contenido no es conocido por los empleados de la organizacin. La poltica de de informacin debera ser escrita por los gerentes de unidad de negocios incluyendo SI, pero no

################################################################################# ############################

Cul de los siguientes procedimientos detectara en forma MS efectiva la carga de paquetes de software ilegal a una red?

Para ser Cuando se ha diseado una poltica de seguridad de informacin, lo MS importante es que la poltica personal. de seguridad de informacin sea: de poco seguridad

La gerencia debera asegurar que todos los activos de informacin (datos y sistemas) tengan un La responsabilidad de rendir cuentas del mantenimiento de medidas de seguridad apropiadas sobre los propietario designado que tome las decisiones sobre clasificacin y derechos de acceso. Los propietarios de activos de informacin reside en: sistema tpicamente delegan la custodia cotidiana al grupo de entrega /operaciones de sistemas y las responsabilidades de seguridad a un administrador de seguridad. Los propietarios, sin embargo, siguen estando ################################################################################# ############################ Es imperativo que se establezcan procedimientos formales escritos de aprobacin para establecer la responsabilidad de rendir cuenta. Esto es verdad tanto para los niveles del gerente de SI como para los niveles superiores de la gerencia. Las opciones A, C y D sera recomendaciones subsiguientes una vez que se haya establecido la autoridad.

La responsabilidad y las lneas de reporte no pueden siempre ser establecidas cuando se auditan sistemas automatizados ya que:

A causa de la naturaleza diversificada tanto de datos como de sistemas de aplicacin, puede ser difcil establecer el verdadero propietario de los datos y de las aplicaciones.

Cul de los siguientes considerara un auditor de SI que es MS importante cuando se evala la estrategia de una organizacin? Que:

La planeacin estratgica pone en movimiento objetivos corporativos o departamentales Tanto los planes estratgicos a largo plazo como a corto plazo deberan ser consistentes con los planes ms amplios de la organizacin y los objetivos del negocio para alcanzar estas metas. La respuesta A es incorrecta ya que la gerencia de lnea prepar los planes. Un administrador de datos es responsable de definir los elementos de datos, nombres de datos, y su relacin. Las opciones A, C y D son funciones de un administrador de base de datos administrador de base de datos (DBA). A diferencia de otras polticas corporativas, el marco de la poltica de seguridad de sistemas es responsabilidad de la direccin general, la junta directiva. El departamento de SI es responsable de la ejecucin de la poltica, no teniendo ninguna autoridad en el enmarcado de la poltica. El comit de seguridad tambin funciona dentro de la amplia poltica de seguridad definida por la junta directiva. El administrador de la Una poltica sana de seguridad de SI es ms probable que esboce un programa de respuesta para manejar las intrusiones sospechosas. Los programas de correccin, deteccin y monitoreo son todos aspectos de seguridad de informacin, pero probablemente no sern incluidos en una declaracin de poltica de seguridad de SI. Los mtodos de anlisis proveen un mecanismo, por el cual la gerencia de SI puede determinar cundo y si las actividades de la organizacin se han desviado de los niveles planeados o de los esperados. Estos mtodos incluyen los presupuestos de SI, la planeacin de la capacidad y del crecimiento, los estndares /puntos de referencia de la industria, las prcticas de gerencia financiera y el logro de las metas. La gerencia de Los programas de produccin se usan para procesar los datos reales y corrientes de la empresa. Es imperativo asegurar que los controles de los cambios a los programas de produccin sean tan estrictos como para los programas originales. La falta de control en esta rea podra tener como resultado que los programas de aplicacin sean modificados de manera que manipulen los datos. A los programadores de aplicaciones se les La primera y ms importante responsabilidad del auditor de SI es advertir a la alta gerencia sobre el riesgo que implica hacer que el administrador de seguridad realice una funcin de operaciones. Esta es una violacin de la separacin de funciones. El auditor de SI no debera participar en el procesamiento. Las vacaciones requeridas de una semana o ms de duracin en la que alguien que no sea el empleado regular realice la funcin del puesto de trabajo es a menudo obligatoria para las posiciones importantes. Esto reduce la oportunidad de cometer actos indebidos o ilegales, y durante este tiempo puede ser posible descubrir cualquier actividad fraudulenta que estuviera ocurriendo. Las opciones A, C y D

Un administrador de datos es responsable de:

El desarrollo de una poltica de seguridad de SI es resposabilidad de:

Cul de los siguientes programas es MS probable que una poltica sana de seguridad de informacin incluira, para manejar las intrusiones sospechosas?

Cul de lo siguiente proveera un mecanismo por el cual la gerencia de SI puede determinar cundo, y si, las actividades de la empresa se han desviado de los niveles planeados, o de los esperados?

Cul de las siguientes situaciones aumentara la probabilidad de fraude?

################################################################################ #############################

Muchas organizaciones requieren que todos los empleados toman una vacacin obligatoria de una semana o ms para:

El grupo de garanta de calidad (quality assurance) es tpicamente responsable de:

El grupo de garanta de calidad es tpicamente responsable de asegurar que los programas, cambios de programas y documentacin se adhieran a las normas establecidas. La opcin A es la responsabilidad del grupo de control de datos, la opcin B es responsabilidad de operaciones de computadora, y la opcin D es responsabilidad de responsabilidad de datos. La mejor forma de manejar las cintas magnticas obsoletas es desmagnetizarlas, porque esta accin impide la divulgacin no autorizada o accidental de informacin, y tambin impide que las cintas obsoletas vuelvan a ser utilizadas. Sobrescribir o borrar las cintas puede ocasionar errores magnticos (considerar que son obsoletas), inhibiendo as la integridad de datos. Inicializar las etiquetas de cintas podra Es importante llevar las actas detalladas de los comits de direccin para documentar las decisiones y las actividades del comit de direccin de SI, y la junta directiva debe ser informada a su debido tiempo. La opcin A es incorrecta porque slo la gerencia principal o los niveles altos del personal deben ser miembros de este comit debido a su misin estratgica. La opcin B no es una responsabilidad de este comit Un administrador de base de datos es responsable de crear y controlar la base de datos lgica y fsica. Definir la propiedad de datos recae en el jefe del departamento de usuario o en la alta gerencia si los datos son comunes para la organizacin. La gerencia de SI y el administrador de datos son responsables de establecer normas operativas para el diccionario de datos. Establecer reglas bsicas para asegurar la integridad y la Los planes estratgicos proveen la base para asegurar que la empresa cumpla sus metas y objetivos. La participacin de la alta gerencia es crtica para asegurar que el plan logra de manera adecuada las metas y objetivos establecidos. Las polticas de SI, procedimientos, normas y lineamientos estn todos estructurados para soportar el plan estratgico general. La verificacin de llave o verificacin uno a uno rendir el grado ms alto de confianza de que los datos ingresados estn libres de error. Sin embargo, esto podra ser imprctico para grandes cantidades de datos. La segregacin de funciones de ingreso de datos proveniente de la verificacin de ingreso de datos es un control adicional de ingreso de datos. Mantener una bitcora /registro detallando el tiempo, fecha, iniciales del empleado Un administrador de LAN no debera tener responsabilidades de programacin pero puede tener responsabilidades de usuario final. El administrador de LAN puede reportarse al director de la IPF o, en una operacin descentralizada, al gerente de usuario final. En las organizaciones pequeas, el administrador de LAN puede tambin ser responsable de la administracin de seguridad del LAN.

Cul de las siguientes es la MEJOR forma de manejar cintas magnticas obsoletas antes de disponer de ellas?

Un comit de direccin de SI debe:

Un administrador de base de datos es responsable de:

La participacin de la alta gerencia es MS importante en el desarrollo de:

Cul de los siguientes controles de ingreso de datos provee la MAYOR garanta de que los datos ingresados no contienen errores?

Un administrador de LAN estara normalmente restringido de:

Un auditor de SI est revisando la funcin de administracin de base de datos para determinar si El auditor de SI debera determinar que las responsabilidades de la funcin de administracin de base de se ha hecho la disposicin adecuada para controlar los datos. El auditor de SI debera determinar que: datos no slo estn bien definidas sino tambin garantizan que el administrador de base de datos (DBA) se reporte directamente al gerente de SI o al ejecutivo para proveer independencia, autoridad y responsabilidad. El DBA no debe reportarse ni a la gerencia de procesamiento de operaciones de datos ni a la ################################################################################## ########################### La independencia debera ser constantemente evaluada por el auditor y la gerencia. Esta evaluacin debera considerar factores tales como las relaciones personales, los intereses financieros y previas asignaciones y responsabilidades del puesto de trabajo. El hecho que el empleado haya trabajado en SI por muchos aos no puede por s mismo asegurar la credibilidad. Las necesidades del departamento de auditora deberan ser

Es apropiado que un auditor de SI de una compaa que est considerando hacer outsourcing de su La responsabilidad primaria del auditor de SI es asegurar que los activos de la compaa estn siendo procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada salvaguardados. Esto es verdad incluso si los activos no residen en las premisas inmediatas. Las oficinas proveedor? prestigiosas de servicio tendrn un plan de continuidad de negocio bien diseado y probado. Outsourcing es un acuerdo contractual por el cual la organizacin entrega el control sobre una parte o sobre la totalidad del procesamiento de informacin a una parte externa. Esto se hace con frecuencia para adquirir recursos o experiencia adicionales que no se obtiene desde el interior de la organizacin. Las responsabilidades de un analista de telecomunicaciones incluyen requerimientos de carga de red en trminos de volmenes corrientes y futuros de transacciones (opcin B), evaluar el impacto de la carga de red o los tiempos de respuesta de las terminales y las velocidades de transferencia de datos de red (opcin C) y recomendar procedimientos y mejoras de balanceo de red (opcin D). Monitorear el desempeo Para asegurar la aprobacin de la gerencia de las actividades control sobre la utilizacin de herramientas de base de datos, registros de acceso. Las actividades de administracin de verificacin de base de datos, tcnicas de compresin de de administracin de base de datos y para ejercer debera haber una revisin de supervisin de los base de datos incluyen entre otras, puntos de base de datos, y procedimientos de respaldo y

Una probable ventaja para una organizacin que ha efectuado outsourcing a su procesamiento de servicios de datos es que:

Un auditor de SI debera preocuparse cuando un analista de telecomunicacin:

Cul de los siguientes es un control sobre las actividades de administracin de base de datos?

Un auditor de SI que revisa un contrato de outsourcing de las instalaciones de TI esperara que ste defina:

De las opciones, el hardware y el control de acceso de software generalmente es irrelevante mientras la funcionalidad, disponibilidad y seguridad puedan ser afectadas, lo cual sera una obligacin contractual especfica. De manera similar, la metodologa de desarrollo no debera de real preocupacin. El contrato debe, sin embargo, especificar quin es el dueo de la propiedad intelectual (i.e., la informacin que est

Un analista de sistemas no debe realizar tareas de garanta de calidad (QA, siglas de los trminos en Cul de las siguientes funciones representara un riesgo si se combinara con la de un analista ingls) ya que podra obstaculizar la independencia, debido a que el analista de sistemas es parte del equipo de sistemas, debido a la falta de controles compensatorios? que desarrolla /disea el software. Un analista de sistemas puede realizar las otras funciones. El mejor ejemplo es un &quot;programador ciudadano&quot ;. Un programador ciudadano (nombre relacionado con Un auditor de SI que revisa el plan estratgico de TI de una organizacin debera PRIMERO revisar: El plan estratgico de TI existe para respaldar el plan de negocios de la organizacin. Para evaluar el plan estratgico de TI, el auditor de SI necesitara primero familiarizarse con el plan de negocios.

En una organizacin pequea, un empleado realiza operaciones de computadora y, cuando la situacin lo exige, programa modificaciones. Cul de lo siguiente debera recomendar el auditor de SI?

Mientras que se preferira que la estricta separacin de funciones se cumpliera y que se reclutara personal adicional, como se sugiere en la Opcin B, esta prctica no es siempre posible en las organizaciones pequeas. El auditor de SI debe buscar procesos alternativos recomendados. De las opciones, C es la nica posible que tiene un impacto. El auditor de SI debera recomendar procesos que detecten los cambios a la La poltica de seguridad provee la estructura amplia de la seguridad, como ha sido dispuesta y aprobada por la alta gerencia. Incluye una definicin de las personas autorizadas para otorgar acceso y la base para otorgarlo. Las opciones A, B y C estn ms detalladas que lo que debera incluirse en una poltica.

Cul de los siguientes sera incluido en la poltica de seguridad de SI de una organizacin?

Una poltica exhaustiva y efectiva de correo electrnico debera resolver los problemas de estructura de correo electrnico, ejecucin de polticas, monitoreo y:

Adems de ser una buena prctica, las leyes y regulaciones pueden requerir que una organizacin mantenga informacin que tenga un impacto en los estados financieros. La prevalencia de demandas en las que la comunicacin de correo electrnico es mantenida en el mismo sentido que el formulario oficial de clsico &quot;documento&quot; hace de la retencin de correspondencia electrnica una necesidad. Todo el correo

activamente el cumplimiento de los trminos del contrato para los servicios Una organizacin ha hecho un outsourcing de su desarrollo de software. Cul de los siguientes es Administrar/Gestionar externalizados (outsourced) es responsabilidad de la gerencia de TI. El pago de facturas es una responsabilidad de la gerencia de TI de la organizacin? responsabilidad de finanzas. La negociacin del acuerdo contractual ya habra ocurrido y por lo general es una responsabilidad compartida del departamento legal y de otros departamentos, como por ejemplo TI. En una organizacin donde se ha definido una lnea base (baseline) de seguridad de TI el auditor de El auditor debe primero evaluar la definicin SI debe PRIMERO asegurar: idoneidad de los controles. La documentacin, adicionales. del nivel mnimo de lnea base para asegurar la la implementacin y el cumplimiento son otros pasos

Las operaciones de TI para una gran organizacin han sido externalizadas (outsourced). Un La falta de una provisin de recuperacin de desastre presenta un riesgo importante de negocio. a la organizacin que realiza el auditor de SI que revisa la operacin externalizada debe estar MS preocupado por cul de los Incorporar una disposicin de este tipo en el contrato proporcionar &quot;outsourcing&quot; una influencia sobre el proveedor de servicio. Las opciones B, C y D son problemas hallazgos siguientes? que deben ser resueltos por el proveedor de servicio, pero no son tan importantes como los ################################################################################ ############################# Mover los servidores puede ocasionar una interrupcin del negocio y debe posponerse hasta que la recuperacin de desastre sea incluida en el contrato de outsourcing. Las opciones A, C y D deben considerarse durante el desarrollo de las provisiones viables de recuperacin de desastre y despus que el traslado de servidores sea pospuesto. Un contrato de nivel de servicio provee la base para una evaluacin adecuada del grado en el que el proveedor est satisfaciendo el nivel de servicio acordado. Las opciones A, C y D no seran la base para una evaluacin independiente del servicio. El primer paso para implementar un control de accesos es un inventario de los recursos de SI, que es la base para la clasificacin. El etiquetado de los recursos no puede hacerse sin primero determinar las clasificaciones de los recursos. La lista de control de accesos (ACL) no se hara sin una clasificacin coherente de los recursos.

De los siguientes, qu es lo MS importante cuando se evalan los servicios prestados por un proveedor de servicios de Internet (ISP)?

La implementacin de controles de acceso requiere PRIMERO:

Un auditor de SI que realiza una revisin de los controles generales de las prcticas de gerencia Cuando se realiza una revisin de los controles generales es importante que un auditor de SI preste atencin al tema de la segregacin de funciones, que est afectada por prcticas de vacaciones /feriados. Las polticas y el de SI relativas al personal debera prestar particular atencin a: cumplimiento de vacaciones obligatorias puede variar dependiendo del pas y de la industria. Las clasificaciones del personal y las polticas de compensaciones justas puede ser una problema moral, no Un auditor de SI debera esperar que cul de los siguientes elementos sean incluidos en la solicitud de propuesta (RFP) cuando SI est adquiriendo servicios de un proveedor de servicios independiente (ISP)? El auditor de estn siendo independiente, preocupacin SI debera buscar una verificacin independiente que el ISP pueda realizar las tareas que contratadas. Las referencias de otros clientes proveeran una revisin y verificacin externa, de procedimientos y procesos que sigue el ISP &ndash; aspectos que seran de para el auditor de SI. Verificar las referencias es un medio de obtener una verificacin

Cuando se revisan las estrategias de SI, el auditor de SI puede determinar MEJOR si la estrategia de SIDeterminar si el plan de SI es consistente con la estrategia de la gerencia relaciona la planificacin de SI/TI con los planes del negocio. Las opciones A, C y D soporta los objetivos de negocio de las organizaciones determinando si SI: son mtodos efectivos para determinar si los planes de SI estn en armona con los objetivos del negocio y con las estrategias de la organizacin. Para asegurar que una organizacin est cumpliendo con los requerimientos de privacidad, el auditor de SI debera PRIMERO revisar: Para asegurar que la organizacin est cumpliendo con los aspectos de privacidad, un auditor de SI debera tratar primero los requisitos legales y regulatorios. Para cumplir con los requisitos legales y regulatorios, las organizaciones necesitan adoptar la infraestructura apropiada. Despus de entender los requisitos legales y regulatorios, el auditor de SI debera evaluar las polticas, estndares y procedimientos

II

Dado el acceso fsico a un puerto, cualquiera puede conectarse a la red interna. Las otras opciones no Una compaa est implementando un protocolo dinmico de configuracin de anfitrin (Dynamic Host Configuration Protocol-DHCP). Dado que existen las siguientes condiciones, cul presentan la exposicin que presenta el acceso a un puerto. DHCP provee conveniencia (una ventaja) para los usuarios de laptop. Compartir las direcciones de IP y la existencia de un firewall pueden ser medidas representa la MAYOR preocupacin? de seguridad. ################################################################################# ############################ En un gateway WAP, los mensajes encriptados/cifrados provenientes de los clientes deben ser desencriptados/descifrados para transmitir a la Internet y viceversa. Por lo tanto, si el gateway es afectado, todos los mensajes estaran expuestos. SSL protege los mensajes de sniffing en la Internet, limitando la revelacin de la informacin del cliente. WTLS provee autenticacin, privacidad e integridad e impide

II

II

Una parte esencial de disear una base de datos para procesamiento paralelo es el esquema de divisin Para maximizar el desempeo (performance) de una base de datos grande en un ambiente paralelo de (partitioning). Como las grandes bases de datos estn indexadas, los indices independientes deben tambin procesamiento, cul de los siguientes se usa para separar los ndices? estar divididos para maximizar el desempeo/performancia. Hashing es un mtodo usado para dividir ndices. ste asocia los datos con los discos, basado en una clave hash. La divisin/particin de discos crea Cul de los siguientes impedir tuplas colgantes (dangling tuples) en una base de datos? La integridad de referencia asegura que una llave/clave extraa en una tabla sea igual a cero o al valor de una primaria en la otra tabla. Por cada tupla en una tabla que tenga una clave referenciada /extraa, debe haber una tupla correspondiente en otra tabla, es decir, por la existencia de todas las claves extraas en las tablas originales. Si esta condicin no fuera satisfecha, entonces el resultado sera una tupla suspendida. La Los switches estn en el nivel ms bajo de seguridad de red y transmiten un paquete al dispositivo al que est dirigido. Esto reduce la capacidad de un dispositivo de capturar los paquetes que estn destinados a otro dispositivo. Los filtros permiten cierto aislamiento bsico de trfico de red basado en las direcciones de destino. Los routers permiten que a los paquetes se les permita o se les niegue acceso basado en las Los controles de concurrencia impiden problemas de integridad de datos, que pueden surgir cuando dos procesos de actualizacin acceden al mismo elemento de dato al mismo tiempo. Los controles de acceso restringen la actualizacin de la base de datos a los usuarios autorizados; y a los controles, por ejemplo, las contraseas impiden la revelacin inadvertida o no autorizada de datos de la base de datos. Los controles Un sistema de directorio describe la ubicacin de los datos y el mtodo de acceso. Un diccionario de datos contiene un ndice y la descripcin de todos los elementos almacenados en la base de datos. Los metadatos ('datos sobre datos') son los elementos de datos requeridos para definir un almacn de datos a nivel de toda la empresa. El procesador de lenguaje de definicin de datos permite al administrador de base de datos (DBA)

II

II

Cul de los siguientes reduce MEJOR la capacidad de un dispositivo de capturar los paquetes que estn destinados a otro dispositivo?

II

El objetivo de control de concurrencia en un sistema de base de datos es:

II

En un sistema de administracin de base de datos (DBMS) la ubicacin de los datos y el mtodo de tener acceso a los datos es provista por:

II

Los dispositivos de monitoreo de red pueden usarse para inspeccionar actividades de usuarios conocidos o En un sistema cliente-servidor, cul de las siguientes tcnicas de control se usa para inspeccionar desconocidos y pueden identificar direcciones de clientes, que pueden asistir en encontrar evidencia de acceso la actividad de los usuarios conocidos o desconocidos? no autorizado. Esto sirve como un control de deteccin. Las estaciones de trabajo sin disco impiden que el software de control de acceso sea evadido. Las tcnicas de encripcin/cifra de datos pueden ayudar a Un beneficio de Calidad de Servicio (QoS) es que: La principal funcin de QoS es optimizar el desempeo/performancia de la red asignando prioridad a las aplicaciones del negocio y a los usuarios finales a travs de la asignacin de partes dedicadas del ancho de banda a trfico especfico. La opcin A no es cierta porque la comunicacin misma no mejorar, sino que la velocidad de intercambio de datos podra ser ms alta. La disponibilidad no mejorar. Las La principal preocupacin es encontrar el balance entre seguridad y desempeo/performancia. Registrar los cambios en una pista de auditora y revisarla peridicamente es un control de deteccin; sin embargo, si no se establecen los parmetros conforme a reglas del negocio, es posible que el monitoreo de cambios no sea un control efectivo. Revisar los cambios para asegurar que estn respaldados por documentos apropiados,

II

II

Cuando se revisan los parmetros del sistema, la PRINCIPAL preocupacin de un auditor de SI, debera ser que:

II

Tener acceso a la base de datos podra proveer acceso a las utileras de la base de datos, lo cual puede actualizar El MAYOR riesgo cuando los usuarios finales tienen acceso a una base de datos al nivel de su sistema, la base de datos sin una pista de auditora y sin usar la aplicacin. El utilizar SQL, slo provee acceso a lectura en lugar de a travs de la aplicacin, es que los usuarios pueden: de la informacin [Nota: El primitivo SQL era solamente un lenguaje de consulta , ahora- aunque ha conservado el nombre (query)-permite modificar la base de datos (DELETE, INSERT, UPDATE). La opcin B atae a esa ################################################################################# ############################ La funcin de resecuenciacin de los paquetes (segmentos) recibidos en desorden es realizada por la capa de transporte. Ni la red, ni las capas de sesin o aplicacin se encargan de la resecuenciacin.

II

II

Verificar si hay lneas base (baselines) de software autorizado es una actividad realizada dentro de culLa administracin de la configuracin da cuenta de todos los componentes de TI, incluyendo software. La administracin de proyectos se encarga del cronograma, administracin de recursos y rastreo del de las siguientes ? progreso del desarrollo del software. Las administracin de problemas registra y monitorea los incidentes. La administracin de riesgos implica identificacin de riesgos, anlisis de impacto, un plan de accin, etc. Para determinar qu usuarios pueden tener acceso al estado de supervisin privilegiado, cul de los siguientes debe revisar un auditor de SI? La revisin de los archivos de configuracin del sistema para las opciones de control usadas mostraran cules usuarios tienen acceso al estado de supervisin privilegiado. Tanto los archivos de registro de acceso a sistemas como los registros de violaciones de acceso son detectivos por naturaleza. El software de control de acceso es corrido bajo el sistema operativo. Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en lnea de documentacin de red. Otras funciones seran el acceso del usuario a diversos recursos de anfitriones (hosts) de red, la autorizacin del usuario a tener acceso a recursos particulares y la red y las computadoras anfitrionas (hosts) a ser usadas sin acciones o comandos especiales de usuario. Las opciones B, La redundancia, creando alguna forma de duplicacin en los componentes de red, como por ejemplo un enlace, un ruteador (router), un switch para prevenir prdidas, demoras o duplicacin de datos, es un control sobre la falla o error de comunicacin del componente. Otros controles relacionados son verificaciones de loop /eco para detectar errores de lnea, verificaciones de paridad, cdigos de correccin de errores y

II

II

Un auditor de SI est efectuando una auditora de un sistema operativo de red. Cul de las siguientes es una funcin de usuario que el auditor de SI debe revisar?

II

Cul de los siguientes es un control sobre las fallas/errores de comunicacin de componentes?

II

Un cable instalado de Ethernet corrido en una red de pares retorcidos no protegidos (UTP) tiene ms La atenuacin es el debilitamiento de las seales durante la transmisin. Cuando la seal se torna dbil, comienza a leer un 1 por un 0, y el usuario puede experimentar problemas de comunicacin. UTP enfrenta de 100 metros de longitud. Cul de los siguientes podra ser causado por la longitud del cable? atenuacin alrededor de los 100 metros. La interferencia electromagntica (EMI) es causada por ondas electromagnticas externas que afectan las seales deseadas, lo cual no es el caso aqu. La interferencia El mtodo de direccionamiento del trfico a travs de instalaciones de cable partido (split cable) o instalaciones de cable duplicado se denomina: El direccionamiento diverso es el mtodo de direccionamiento del trfico a travs de instalaciones de cable partido o de instalaciones de cable duplicado, que puede lograrse con cubiertas de cables diferentes/duplicadas. El direccionamiento alternativo es el mtodo de direccionamiento de la informacin por un medio alternativo como cable de cobre o fibra ptica. La redundancia implica proveer capacidad La latencia, que se mide usando un comando &quot;Ping&quot;, representa la demora que tendr un mensaje /paquete para viajar desde el origen hasta el destino. Una disminucin en la amplitud a medida que una seal se propaga a travs de un medio de transmisin se denomina atenuacin. El rendimiento, que es la cantidad de trabajo por unidad de tiempo, se mide en bytes por segundo. La distorsin por demora representa la El mirroring de elementos crticos es una herramienta que facilita la recuperacin inmediata. La copia de respaldo diaria implica que es razonable que el restablecimiento ocurra dentro de un nmero de horas pero no inmediatamente. El almacenamiento fuera del sitio y la prueba peridica de sistemas no soportan por s mismas la disponibilidad continua.

II

II

Un comando &quot;Ping&quot; se usa para medir:

II

Cul de los siguientes soportara MEJOR la disponibilidad 24/7?

II

Las bitcoras de sistema son reportes automatizados que identifican la mayora de las actividades realizadas en El anlisis de cul de los siguientes es MS probable que habilite al auditor de SI para determinar si la computadora. Se han desarrollado muchos programas que analizan la bitcora de sistema para reportar un programa no aprobado intent tener acceso a datos sensitivos? sobre puntos definidos especficamente. Los reportes de terminacin anormal identifican los trabajos de aplicacin que fueron terminados antes de su terminacin exitosa. Los reportes de problema de operador Cuando se analiza la portabilidad de una aplicacin de base de datos, el auditor de SI debe verificar que: El uso de un lenguaje de consultas estructuradas (SQL) es un elemento clave para la portabilidad de la base de datos. La importacin y exportacin de informacin con otros sistemas es un objetivo de revisin de interfaces de base de datos. El uso de un ndice es un objetivo de una revisin de acceso a base de datos, y el hecho de que todas las entidades tengan un nombre significativo y llaves primaria y extranjera identificadas es

II

II

El principio de atomicidad requiere que una transaccin sea completada en su totalidad o no lo sea en absoluto. Si En un sistema de procesamiento de transacciones en lnea, la integridad de datos es mantenida ocurriera un error o interrupcin, todos los cambios efectuados hasta ese punto son retirados. La consistencia asegurando que una transaccin sea o bien concluida en su totalidad o no lo sea en absoluto. Este asegura que todas las condiciones de integridad en la base de datos sean mantenidas con cada transaccin. El principio de integridad de datos se conoce como: aislamiento asegura que cada transaccin sea aislada de otras transacciones , y de ah que, cada transaccin slo Despus de instalar una red, una organizacin instal una herramienta de estudio de la vulnerabilidad o escaneador de seguridad para identificar posibles debilidades. Cul es el riesgo MS serio asociado con dichas herramientas? Reporte negativo falso sobre las debilidades significa que las debilidades de control en la red no estn identificadas y de ah que no puedan ser resueltas, dejando la red vulnerable a ataques. Positivo falso es una en la que los controles estn establecidos, pero estn evaluados como dbiles, lo cual debe demandar una nueva verificacin de los controles. Reporte con menos detalles y funciones de reporteo diferencial

II

II

Usar conductos separados para cables de datos y cables elctricos, minimiza el riesgo de corrupcin de datos En un entorno de LAN, Cul de los siguientes minimiza el riesgo de corrupcin de datos durante la debido a un campo magntico inducido creado por medio de corriente elctrica. La encripcin de datos transmisin? minimiza el riesgo de fuga de datos en caso de intercepcin de lneas telefnicas, sin embargo, no puede prevenir la corrupcin. Una suma de verificacin ayudar a detectar la corrupcin de datos durante la

II

Cul de los siguientes considerara un auditor de SI que es MS til cuando se evala la efectividad y adecuacin de un programa de mantenimiento preventivo de computadora?

Un registro de tiempo improductivo del sistema provee informacin sobre la efectividad y adecuacin de los programas de mantenimiento preventivo de computadora.

II

Cul de los siguientes es el medio MS efectivo de determinar qu controles estn funcionando correctamente en un sistema operativo?

Los parmetros de generacin del sistema determinan cmo funciona un sistema, la configuracin fsica y su interaccin con la carga de trabajo.

II

El control de congestin se maneja MEJOR por cul capa de OSI?

La capa de transporte es responsable de la entrega de datos confiables. Esta capa implementa un mecanismo de control de flujos que puede detectar congestin, reducir las velocidades de transmisin de datos y aumentar las velocidades de transmisin cuando la red parece que ya no est congestionada (e.g., controles de flujo de TCP). La capa de red no es correcta porque el control de congestin ocurre basado en

II

Los programas de utilera que renen mdulos de software que se necesitan para ejecutar una Los programas de utilera que renen mdulos de software que se necesitan para ejecutar una versin de versin de programa de aplicacin de instrucciones de mquina son: programa de aplicacin de instruccin de mquina son los editores de enlace y los cargadores.

II

El software de monitoreo de capacidad se usa para asegurar:

El software de monitoreo de capacidad muestra, por lo general en forma de luces o de grficas rojas, mbar y verdes, el uso real de los sistemas en lnea frente a su capacidad mxima. El objetivo es permitir al personal de soporte de software que tome medidas si el uso comenzara a sobrepasar el porcentaje de la capacidad disponible para asegurar que se mantenga la operacin eficiente, en trminos de tiempos de respuesta. Las limitaciones de integridad referencial aseguran que un cambio en una clave primaria de una tabla sea actualizada automticamente en una llave extranjera coincidente de otras tablas. Esto se hace usando disparadores.

II

Una limitacin de integridad de referencia est constituida por:

II

Cul de las siguientes exposiciones asociadas con el spooling de reportes sensitivos para impresin fuera de lnea considerara un auditor de SI que es el MS serio ?

A menos que est controlado, el spooling para impresin fuera de lnea permite que se impriman copias adicionales. Es improbable que los archivos de impresin estn disponibles para ser ledos en lnea por los operadores. Los datos en archivos de spool no son ms fciles de enmendar sin autoridad que cualquier otro archivo. Por lo general hay una amenaza menor de acceso no autorizado a los reportes sensitivos sen caso de una La compra de software de sistema operativo depende del hecho de que el software sea compatible con el hardware existente. Las opciones A y D, a pesar de ser importantes, no son tan importantes como la opcin C. Los usuarios no aprueban normalmente la adquisicin de software de sistema operativo.

II

Cul de los siguientes es crtico para la seleccin y adquisicin del software de sistema operativo correcto?

II

Cul de los siguientes medios de lnea proveera la MEJOR seguridad para una red de telecomunicacin?

Las lneas dedicadas son apartadas para un usuario en particular o para una organizacin. Como no se comparten lneas o puntos intermedios de entrada, el riesgo de intercepcin o interrupcin de los mensajes de telecomunicacin es ms bajo.

II

Cul de los siguientes tipos de firewall protegera MEJOR una red contra un ataque de Internet?

Un Firewall filtrado de red subordinada proveera router comercial o un nodo con capacidades capacidad para permitir o evitar el trfico entre protocolos, interfaces, etc. Las gateways de nivel

la mejor proteccin. El router de filtrado puede ser un de direccionamiento que puede filtrar paquetes, con la redes o entre nodos basndose en direcciones, puertos, de aplicacin son intermediarias entre dos entidades que

II

################################################################################# ############################

EDI es la mejor respuesta. Implementado debidamente (por ejemplo, contratos con normas para transacciones entre los socios comerciales, controles sobre los mecanismos de seguridad de la red en conjunto con los controles de aplicacin) EDI se adeca mejor para identificar y dar seguimiento a los errores ms rpidamente dadas las reducidas oportunidades de revisin y de autorizacin.

II

La administracin de configuraciones es ampliamente aceptada como uno de los componentes clave de Cul de los siguientes componentes es ampliamente aceptado como uno de los componentes crticos cualquier red dado que establece cmo funcionar la red tanto interna como externamente. Tambin se ocupa en la administracin de redes? de la administracin de la configuracin y del monitoreo del desempeo. Los mapeos topolgicos proveen una descripcin de los componentes de la red y su conectividad. Esto es crtico para administrar y Aplicar una fecha de retencin en un archivo asegurar que: Una fecha de retencin asegurar que un archivo no pueda ser sobrescrito antes de que esa fecha haya pasado. La fecha de retencin no afectar la capacidad de leer el archivo. Las copias de respaldo se esperara que tengan una fecha de retencin diferente y por lo tanto puedan bien ser retenidas despus de que el archivo haya sido sobrescrito. La fecha de creacin, no la fecha de retencin, diferenciar los archivos que tengan el mismo Las redes neurales se pueden usar para atacar problemas que requieren consideracin de numerosas variables de input. Ellas son capaces de captar relaciones y patrones que a menudo se les escapa a otros mtodos estadsticos. Las redes neurales no descubrirn nuevas tendencias. Ellas son inherentemente no lineales y no hacen supuestos sobre la forma de ninguna curva que relacione a las variables con el output. Las

II

II

Las redes neurales son efectivas para detectar el fraude porque pueden:

II

Un gateway realiza el trabajo de traducir formatos de correo electrnico de una red a otra para que los mensajes Cul de los siguientes traduce formatos de correo electrnico desde una red a otra para que el puedan seguir su camino a travs de todas las redes. Un convertidor de protocolo es un dispositivo de hardware mensaje pueda viajar a travs de todas las redes? que convierte entre dos tipos diferentes de transmisiones, como por ejemplo transmisiones asncronas y sncronas. Un procesador de inicio de comunicacin conecta todas las lneas de comunicacin de red a una ><br>Suponiendo que este diagrama representa una instalacin interna y la organizacin est implementando un programa de proteccin de firewall, Dnde deberan instalarse los firewalls? El objetivo de un firewall es proteger una red confiable contra una red no confiable; por lo tanto, las ubicaciones que necesitan implementaciones de firewall estaran en la existencia de las conexiones externas. Todas las otras respuestas son incompletes o representan conexiones internas. Los hubs abiertos representan una debilidad significativa de control a causa del potencial de fcil acceso a una conexin de red. Un hub inteligente permitira la desactivacin de un solo Puerto mientras deja activos los puertos restantes. Adicionalmente, la seguridad fsica tambin proveera una proteccin razonable sobre los hubs con puertos activos.

II

II

><br>Para las ubicaciones 3a, 1d y 3d, el diagrama indica hubs con lneas que parecen estar abiertas y activas. Suponiendo que es verdad, qu controles, si hubiera, se recomendara para mitigar esta debilidad?

II

><br>En el rea 2c del diagrama, hay tres hubs conectados entre s. Qu riesgo potencial podra esto Los hubs son dispositivos internos que generalmente no tienen conectividad externa directa y por ello no estn propensos a hackers. No se conocen virus que sean especficos para los ataques de hubs. Mientras que esta indicar? situacin puede ser un indicador de controles deficientes de la gerencia, La opcin B es ms probable cuando se sigue la prctica de amontonar hubs y crear ms conexiones de terminales.

II

El disco duro debe ser desmagnetizado ya que esto causar que todos los bits sean puestos a cero eliminando Cuando una PC que ha sido utilizada para el almacenamiento de datos confidenciales es vendida en el as cualquier posibilidad de que la informacin que haya estado almacenada anteriormente en el disco, sea mercado abierto: recuperada. Un formato de nivel medio no borra informacin del disco duro, slo restablece los sealadores de directorio. La eliminacin de datos del disco elimina el sealador del archivo, pero en realidad deja Un puerto serial universal (USB): El puerto USB conecta la red sin tener que instalar una tarjeta separada de interfaz de red dentro de una computadora usando un adaptador USB de Ethernet.

II

II

Cmo puede una empresa proveer acceso a su Intranet (i.e., extranet) a travs de la Internet a sus socios comerciales?

Una red virtual privada (VPN, siglas de los trminos en ingls) permite que los socios externos participen con seguridad en la extranet usando redes pblicas como un transporte o redes privadas compartidas. Debido a su bajo costo, usar .las redes pblicas (Internet)como transporte es el mtodo principal. Los VPNs se basan en tcnicas de tunelizacin/encapsulacin, que permiten que el protocolo de Internet (IP) lleve una La mayor preocupacin cuando se implementan firewalls encima de sistemas operativos comerciales es la presencia potencial de vulnerabilidades que podran socavar la postura de seguridad de la plataforma misma de firewall. En la mayora de las circunstancias, cuando se violan los firewalls comerciales, esa violacin es facilitada por vulnerabilidades en el sistema operativo subyacente. Mantener disponibles todas las Un hub es un dispositivo que conecta dos segmentos de un solo LAN, Un hub es una repetidora, provee conectividad transparente a los usuarios en todos los segmentos del mismo LAN. Es un dispositivo de nivel 1. Un puente opera en el nivel 2 de la capa OSI y se usa para conectar dos LANs usando protocolos diferentes (por ejemplo, uniendo una red de ethernet con una red de token) para formar una red lgica. Un gateway, que

II

################################################################################# ############################

II

Un hub es un dispositivo que conecta:

II

Cul de los siguientes ayudara a asegurar la portabilidad de una aplicacin conectada a una base de El uso de lenguaje estructurado de pregunta (SQL) facilita la portabilidad. La verificacin de procedimientos de importacin y exportacin con otros sistemas asegura mejor interfaz con otros sistemas, analizar los datos? procedimientos/triggers almacenados asegura el acceso/desempeo apropiado, y revisar el diseo, el modelo entidad-relacin, todos sern de ayuda pero no contribuyen a la portabilidad de una aplicacin que conecta a una Cul de los siguientes dispositivos de hardware libera a la computadora central de realizar tareas deUn Procesador de inicio de comunicacin (Front-end) es un dispositivo de hardware que conecta todas las lneas control de red, conversin de formato y manejo de mensajes? de comunicacin a una computadora central para liberar a la computadora central.

II

II

Cul de los siguientes se puede usar para verificar los resultados del output y los totales de control hacindolos coincidir contra los totales de datos de input y de control?

El balanceo de lote se usa para verificar los resultados de output y los totales de control hacindolos coincidir contra los datos de input y los totales de control. Los formularios de encabezado de lote controlan la preparacin de datos; las correcciones de error de conversin de datos corrigen los errores que ocurren debido a duplicacin de transacciones e ingreso de datos incorrectos; y los controles de acceso sobre los Los errores de sistema son los nicos que uno esperara encontrar en el registro de consola.

II

Cul de los siguientes esperara encontrar un auditor de SI en un registro de consola?

II

Cul de las siguientes metodologas basadas en sistema empleara una compaa de procesamiento Una red neural monitorear y conocer patrones, reportando las excepciones para investigacin. El software de administracin de base de datos es un mtodo de almacenar y recuperar datos. La administracin de sistemas financiero para monitorear los patrones de gasto para identificar patrones anormales y reportarlos? de informacin provee estadsticas de gerencia pero normalmente no tiene una funcin de monitoreo y deteccin. Las tcnicas de auditora asistidas por computadora detectan situaciones especficas, pero no estn ################################################################################# ############################ Para que la microcomputadora del auditor de SI se comunique con la mainframe, el auditor de SI debe usar un convertidor de protocolo para convertir la transmisin asncrona y la sncrona. Adicionalmente, el mensaje debe ser enviado al buffer para compensar las velocidades diferentes de flujo de datos. Middleware, una clase de software empleado por las aplicaciones cliente-servidor, provee servicios, como por ejemplo, identificacin, autenticacin, directorios y seguridad. Facilita las conexiones cliente-servidor a travs de la red y permite que las aplicaciones de cliente tengan acceso y actualicen bases de datos remotas y archivos de mainframe. Firmware est constituido por chips de memoria con cdigo de programa La verificacin de redundancia cclica (CRC, siglas de datos transmitidos. Las estaciones de trabajo generan La estacin de trabajo que recibe computa una CRC y ambas son iguales entonces se asume que el bloque est El gateway Para poder e internos, (capa 3) y los trminos en ingls) puede verificar un bloque de la CRC y la transmiten con los datos al mismo tiempo. la compara con la estacin de trabajo del remitente. Si libre de error. En este caso (como por ejemplo un error

II

II

La interfaz que permite acceso a los servicios de red de nivel ms bajo o ms alto se denomina:

II

Cul de los siguientes controles detectar en forma MS efectiva la presencia de surgimientos de errores en las transmisiones de red?

II

Cul de los siguientes tipos de firewalls provee el MAYOR grado y granularidad de control?

de aplicacin es similar a un gateway de circuito, pero tiene proxies especficos para cada servicio. manejar los servicios web tiene un proxy de http, que acta como un intermediario entre externos pero especficamente para http. Esto significa que no slo verifica el paquete de direcciones de IP los puertos a los que est dirigido (en este caso el puerto 80, la capa 4), tambin verifica cada

II

Cul de las capas del modelo ISO/ OSI provee servicio para cmo enrutar los paquetes entre los nodos?

La informacin de interruptores y rutas de capas de red (encabezador o header de capa de red). Los servicios de enlace de datos nodo a nodo se extienden a travs de la red mediante esta capa. La capa de red provee tambin servicio para cmo enrutar los paquetes (unidades de informacin en la capa de red) entre los nodos conectados a travs de una red arbitraria. La capa de enlace de datos transmite informacin como grupos de bits (unidades Una direccin de IP especifica una conexin de red. Como una direccin de IP codifica tanto una red como un anfitrin en esa red, ellos no especifican una computadora individual, sino una conexin a una red. Un router /gateway conecta dos redes y tendr dos direcciones de IP. De ah que, una direccin de IP no pueda especificar un router. Una computadora en la red puede ser conectada a otras redes tambin. En ese caso

II

En una red basada en TCP/IP, una direccin de IP especifica:

II

Los puentes conectan dos redes separadas para formar una red lgica (por ejemplo, uniendo una red de El dispositivo para extender la red que debe tener capacidad de almacenamiento para almacenar ethernet con un red de token). Este dispositivo de hardware debe tener capacidad de almacenamiento para marcos (frames) y para actuar como un dispositivo de almacenamiento y reenvo es un: almacenar marcos y para actuar como un dispositivo de almacenamiento y reenvo. Los puentes operan en la capa de enlace de datos de OSI examinando el encabezador de control de acceso a los medios de un El DNS es primariamente utilizado en la Internet para la resolucin del nombre &direccin del sitio web. Es un En una arquitectura cliente /servidor, un servicio de nombre de dominio (domain name service-DNS) servicio de Internet que traduce nombres de dominio en direccin es de IP. Como los nombres son alfabticos, es lo MS importante porque provee: son ms fciles de recordar. Sin embargo, la Internet se basa en direcciones de IP. Cada vez que se usa un nombre de dominio, un servicio DNS debe traducir el nombre en la direccin de IP correspondiente. El

II

II

En un servidor de web, una interfaz comn de gateway (CGI) es usada con la MAYOR frecuencia como:

La interfaz comn de gateway (CGI) es una forma estndar para que un servidor de web pase la solicitud de un usuario de web a un programa de aplicacin y para que reciba y enve los datos al usuario. Cuando el usuario solicita una pgina de web (por ejemplo, presionando en una palabra iluminada o ingresando una direccin de sitio de web), el servidor enva de regreso la pgina solicitada. Sin embargo, cuando un usuario y La etapa de interfaz de comunicaciones requiere procedimientos de verificacin del direccionamiento. EDI o ANSI X12 es un estndar que debe ser interpretado por una aplicacin para que las transacciones sean procesadas y luego facturadas, pagadas y enviadas, tanto si corresponden a mercanca como a servicios. SWIFT es un ejemplo de cmo EDI ha sido implementado y adoptado. No tiene sentido enviar y recibir Las medidas de throughput miden cunto trabajo es efectuado por un sistema durante un perodo de tiempo; mide la productividad del sistema. En un sistema de procesamiento de transacciones en lnea, las transacciones por segundo son un ndice de throughput. El tiempo de respuesta se define como la longitud de tiempo que transcurri entre el sometimiento de un input y el recibo El concepto de piggybacking compromete todo el control fsico establecido. La opcin B sera una preocupacin mnima en un entorno de recuperacin de desastre. Los puntos en la opcin C son se duplican fcilmente. Respecto a la opcin D, la tecnologa est cambiando constantemente pero las llaves de tarjeta han existido por algn tiempo ya y parece que son una opcin viable para el futuro previsible. Para rastrear la topologa de la red sera esencial que existiera una interfaz grfico No es necesario que cada red est en la Internet y un help desk, y la capacidad de exportar a una hoja de trabajo no es un elemento esencial. Una lista de acceso actualizada e impecable es un desafo significativo y, por lo tanto, tiene la mayor oportunidad de errores en el momento de la instalacin inicial. Las contraseas no se aplican a los firewalls, un mdem evade un firewall y un ataque de virus no es un elemento al implementar un firewall. La red de bus es vulnerable a falla si falla un dispositivo. Los dispositivos estn conectados en un solo cable. Si este calbe es cortado, todos los dispositivos ms all del punto de corte no estaran disponibles.

II

Recibir una transaccin de intercambio electrnico de datos (electronic data interchange-EDI) pasarla a travs de la etapa de interfaz de comunicaciones requiere a menudo:

II

Para un sistema de procesamiento de transacciones en lnea, las transacciones por segundo es una medida de:

II

Qu es un riesgo asociado con intentar controlar el acceso fsico a las reas sensitivas, como por ejemplo salas de computadora, a travs de llaves de tarjeta, cerrojos, etc.?

II

Cul de las siguientes se considerara una caracterstica esencial de un sistema de administracin de red?

II

El error ms probable que ocurre cuando se implementa un firewall es:

II

Cul de las siguientes disposiciones fsicas de LAN est sujeta a prdida total si falla un dispositivo?

II

Una herramienta de diagnstico de red que monitorea y registra informacin de red es un:

Los analizadores de protocolo son herramientas de diagnstico de red que monitorean y registran informacin de red de los paquetes que viajan en el enlace al que est conectado el analizador. Los monitores en lnea (Opcin A) miden las transmisiones de telecomunicaciones y determinan si las transmisiones son correctas y completas. Los reportes de tiempo improductivo (Opcin B) rastrean la disponibilidad de lneas y circuitos de

II

Un CD que se escribe una sola vez no puede ser sobrescrito. Por lo tanto, el registro de sistema duplicado Cul de los siguientes ayudar a detectar los cambios efectuados por un intruso al registro de sistema en el disco podra compararse con el registro original para detectar diferencias, que podra ser el resultado de de un servidor? cambios efectuados por un intruso. Proteger la escritura en el registro de sistema no previene la eliminacin o modificacin, ya que el sper usuario puede evadir la proteccin de escritura. La copia de respaldo y el

II

Cuando se revisa la implementacin de una LAN el auditor de SI debe PRIMERO revisar:

Paras revisar debidamente una implementacin de LAN, el auditor de SI debe primero verificar el diagrama de red y confirmar la aprobacin. La verificacin de nodos de la lista de nodos y el diagrama de red sera luego seguido por una revisin del reporte de la prueba de aceptacin y luego la lista del usuario. Defensa exhaustiva (in-depth) significa usar diferentes mecanismos de seguridad que se respaldan entre s. Cuando el trfico de red pasa involuntariamente un firewall, los controles de acceso lgico forman una segunda lnea de defensa. Usar dos firewalls de diferentes vendedores para verificar de manera consecutiva el trfico de red entrante es un ejemplo de diversidad en la defensa. Los firewalls son los mismos Endurecer (hardening) un sistema significa configurarlo en la forma ms segura (instalar los ltimos parches de seguridad, definir debidamente la autorizacin de acceso para usuarios y administradores, inhabilitar las opciones inseguras y desinstalar los servicios no utilizados) para prevenir que los usuarios no privilegiados obtengan el derecho de ejecutar instrucciones privilegiadas y de ese modo tomen control de

II

Cul de los siguientes es un ejemplo del principio de defensa exhaustiva de la seguridad?

II

Cul de los siguientes asegura MEJOR la integridad del sistema operativo de un servidor?

II

Los sistemas Firewall son la herramienta primaria que permite que una organizacin impida el acceso no Cul de los siguientes componentes de red es PRIMARIAMENTE establecido para servir como autorizado entre las redes. Una organizacin puede escoger utilizar uno o ms sistemas que funcionan como una medida de seguridad impidiendo el trfico no autorizado entre diferentes segmentos de la red? firewalls. Los routers pueden filtrar paquetes basados en parmetros, como por ejemplo direccin fuente, pero no son primariamente una herramienta de seguridad. Basado en direcciones de Control de Acceso a los Para evaluar la integridad referencial de una base de datos un auditor de SI debe revisar: Una llave/clave externa es una columna en una tabla que referencia a una llave/clave primaria de otra tabla, proveyendo as la integridad referencial. Las llaves/claves compuestas estn constituidas por dos o ms columnas designadas juntas como la llave/clave primaria de una tabla. La indexacin de campo acelera las bsquedas, pero no asegura la integridad referencial. La integridad referencial est relacionada con el

II

II

Un auditor de SI detect que varias PCs conectados con el Internet tienen un nivel bajo de seguridad El archivo de cookies reside en la mquina cliente. Contiene datos pasados desde los sitios web, para que los sitios web puedan comunicarse con este archivo cuando el mismo cliente regresa. El sitio web slo tiene acceso a que est permitiendo el registro libre de cookies. Este crea un riesgo porque las cookies almacenan esa parte del archivo de cookie que representa la interaccin con ese sitio web en particular. Los archivos de localmente: cookies han causado algunos problemas con respecto a la privacidad. Las cuatro opciones se relacionan todas Cul de los siguientes es la causa MS probable para que un servidor de correo sea usado para enviar Un proxy abierto (o relay abierto) permite que personas no autorizadas dirijan (route) su spam a travs del spam? servidor de correo de otro. POP3 y SMTP son protocolos de correo comnmente usados. Activar el registro de actividad (accounting) de usuarios no se relaciona con usar un servidor para enviar spam. A menos que est debidamente controlada, una memoria flash provee una posibilidad para que cualquiera La preocupacin de seguridad MS significativa cuando se usa una memoria flash (por ejemplo, disco copie cualquier contenido con facilidad. Los contenidos almacenados en la memoria flash no son voltiles. removible USB) es que: Sacar copias de respaldo a los datos de la memoria flash no es una preocupacin de control ya que los datos son a veces almacenados como copia de respaldo. Una memoria flash ser accedida a travs de un PC mejor que Un auditor de SI que revisa una aplicacin de base de datos descubre que la configuracin El auditor de SI debe primero determinar si las modificaciones fueron aprobadas debidamente. Las opciones A, actual no coincide con la estructura diseada originalmente. Cul de los siguientes debera ser la B y C son posibles acciones posteriores, si el auditor encuentra que la modificacin estructural no ha sido prxima accin del auditor de SI? aprobada.

II

II

II

II

El administrador de base de datos (DBA) sugiere que la eficiencia de la Base de Datos (DB) puede ser mejorada desnormalizando algunas tablas. Esto resultara en:

La normalizacin es un proceso de diseo o de optimizacin para una base de datos (DB) relacional que minimiza la redundancia; por lo tanto, la desnormalizacin aumentara la redundancia (redundancia que es, por lo general, considerada positiva cuando es una cuestin de disponibilidad de recursos, es negativa en un entorno de base de datos, ya que exige esfuerzos adicionales, de otro modo innecesarios, de manejo de

II

Cul de los siguientes es el mtodo MS efectivo para tratar con la divulgacin de un gusano de red Detener el servicio e instalar la reparacin de seguridad es la forma ms segura de impedir que el gusano se extienda. Si el servicio no es detenido, instalar la reparacin no es el mtodo ms efectivo porque el gusano que se aprovecha de la vulnerabilidad en un protocolo? contina extendindose hasta que la reparacin se vuelve efectiva. Bloquear el protocolo en el permetro no impide al gusano extenderse a la red(es) interna(s). Bloquear el protocolo ayuda a desacelerar la ################################################################################# ############################ Un monitor de referencia es un mecanismo abstracto que verifica cada solicitud hecha por un individuo (proceso de usuario) para tener acceso y usa un objeto (por ej., archivo, dispositivo, programa) para asegurar que la solicitud cumple con una poltica de seguridad. Un monitor de referencia es implementado a travs de un ncleo (kernel) de seguridad, que es un mecanismo de hardware /software La razn principal para invertir en herramientas de filtrado de la web y de correo electrnico es que ellas reducen significativamente los riesgos relacionados con virus y material que no es del negocio. La opcin B podra ser cierta en algunas circunstancias (i.e., necesitara ser implementada ajunto con un programa de conocimiento, para que el desempeo / rendimiento del empleado pueda ser mejorado de manera significativa); sin embargo, Si no se investigan las acciones no autorizadas del sistema, el registro antes de una revisin peridica es un riesgo pero no es tan crtico como cuestionables. Registrar los eventos de rutina pueden hacer ms difcil pero los eventos crticos an as se registran. Los procedimientos no tiene utilidad. Purgar los registros la necesidad de investigar las acciones reconocer las acciones no autorizadas, para habilitar y revisar los registros

II

II

Las herramientas de filtrado de la web y del correo electrnico son PRINCIPALMENTE una organizacin porque ellas:

valiosas para

II

Cul de los siguientes es el MAYOR riesgo relacionado con el monitoreo de los registros de auditora?

II

Un comit de seguimiento de TI revisara los sistemas de informacin PRIMARIAMENTE determinar:

para

La funcin de un comit de seguimiento de TI es asegurar que el departamento de SI est en armona con la misin y los objetivos de la organizacin. Para asegurar esto, el comit debe determinar si los procesos de TI soportan los requerimientos del negocio. Analizar la funcionalidad adicional propuesta, y evaluar tanto la estabilidad del software como la complejidad de la tecnologa, son aspectos demasiado estrechos en su

II

El efecto MS probable de la falta de participacin de la alta gerencia en la planeacin estratgica de Debe existir un comit de seguimiento para asegurar que las estrategias de TI soporten las metas de la organizacin. La ausencia de un comit de tecnologa de informacin o un comit no compuesto de altos TI es: gerentes sera una indicacin de falta de participacin de la alta gerencia. Esta condicin aumentara el riesgo de que TI no est a la altura de la estrategia de la organizacin. Cul de los siguientes es una funcin de un comit de direccin de SI? El comit de direccin de SI tpicamente sirve como una junta general de revisin para los principales proyectos de SI y no debe involucrarse en operaciones de rutina, por lo tanto, una de sus funciones es aprobar y monitorear los principales proyectos, la situacin de los planes y presupuestos de SI. El control de cambio de vendedor es un aspecto de outsourcing y debe ser monitoreado por la gerencia de SI. Asegurar una separacin de Es importante llevar las actas detalladas de los comits de direccin para documentar las decisiones y las actividades del comit de direccin de SI, y la junta directiva debe ser informada a su debido tiempo. La opcin A es incorrecta porque slo la gerencia principal o los niveles altos del personal deben ser miembros de este comit debido a su misin estratgica. La opcin B no es una responsabilidad de este comit

II

II

Un comit de direccin de SI debe:

II

La participacin de la alta gerencia es MS importante en el desarrollo de:

Los planes estratgicos proveen la base para asegurar que la empresa cumpla sus metas y objetivos. La participacin de la alta gerencia es crtica para asegurar que el plan logra de manera adecuada las metas y objetivos establecidos. Las polticas de SI, procedimientos, normas y lineamientos estn todos estructurados para soportar el plan estratgico general. Para gobernar TI eficazmente, TI y el negocio deben moverse en la misma direccin, requiriendo que los planes de TI estn alineados con los planes de negocio de una organizacin. Los planes de auditora y de inversin no forman parte del plan de TI y el plan de seguridad debe ser al nivel corporativo.

II

El gobierno efectivo de TI asegurar que el plan de TI sea consistente con el:

II

Establecer el nivel de riesgo aceptable es responsabilidad de:

La alta gerencia debera establecer el nivel de riesgo aceptable, ya que ellos son los responsables en ltima instancia o los responsables finales de la operacin efectiva y eficiente de la organizacin. Las opciones A, C y D deberan actuar como asesores de la alta gerencia para determinar un nivel aceptable de riesgo. El gobierno de TI es primariamente responsabilidad de los ejecutivos y de los accionistas (representados por la junta directiva [board of directors.]) El director general es instrumental para implementar el gobierno de TI en conformidad con las instrucciones de la junta directiva. El comit de seguimiento de TI monitorea y facilita el despliegue de los recursos de TI para proyectos especficos en soporte de los planes de negocio. El Desde una perspectiva de control, la descripcin de un trabajo debe establecer responsabilidad y deber de reportar/imputabilidad (accountability). Esto ayudar a asegurar que se d a los usuarios acceso al sistema en conformidad con las responsabilidades definidas de su trabajo. Las otras opciones no estn directamente relacionadas con los controles. Proveer instrucciones sobre cmo hacer el trabajo y definir la autoridad, Una investigacin de los antecedentes es el mtodo primario para asegurar la integridad de un prospectivo miembro del personal. Las referencias son importantes y sera necesario verificarlas, pero no son tan fiables como la investigacin de los antecedentes. La fianza est referenciando al cumplimiento de la debida diligencia, no a la integridad, y las calificaciones/habilidades indicadas en un rsum/curriculum vitae/hoja de vida, pueden Las reconciliaciones de control de lote son un ejemplo de controles compensatorios. Otros ejemplos de controles compensatorios son las bitcoras de transacciones, las pruebas de razonabilidad, las revisiones independientes y las pistas de auditora tales como bitcoras de consola, bitcoras de biblioteca y la fecha de contabilidad del trabajo. Las verificaciones de secuencia y los dgitos de verificacin son ediciones de Existe una probabilidad de que un empleado despedido pueda hacer mal uso de por lo tanto, inhabilitar el acceso lgico de un empleado terminado es la accin debe emprender. Todo el trabajo del empleado terminado necesita ser entregado a sin embargo, esto debe efectuarse despus de implementar la opcin D. Se debe los derechos de acceso, ms importante que se un empleado designado, hacer copia de respaldo

II

El gobierno de TI es PRIMARIAMENTE

responsabilidad del:

II

Desde una perspectiva de control, el elemento clave en las descripciones de trabajos es que:

II

Cul de lo siguiente proveera MEJOR garanta de la integridad del nuevo personal?

II

Cul de los siguientes sera un control compensatorio para mitigar los riesgos resultantes de una segregacin inadecuada de funciones?

II

Cuando un empleado es despedido de su servicio, la accin MS importante es:

II

El cuadro de mandos o marcador balanceado (balanced scorecard) de TI es una herramienta de Los resultados financieros han sido tradicionalmente la nica medida general de desempeo. El cuadro de gobierno del negocio que est destinada a monitorear los indicadores de evaluacin del desempeo mandos o marcador balanceado de TI (BSC) es una herramienta de gobierno del negocio de TI dirigida a monitorear los indicadores de evaluacin del desempeo de TI adems de los resultados financieros. El (performance) de TI aparte de: BSC de TI considera otros factores clave de xito, tales como la satisfaccin del cliente, la capacidad de

II

El establecimiento de perodos contables es una de las actividades crticas de la funcin de finanzas. Otorgar La funcin de establecimiento del libro mayor/mayor general (general ledger) en un paquete acceso a esta funcin al personal en el almacn y en el ingreso de rdenes podra ser a causa de una falta de empresarial (ERP) permite fijar perodos contables. El acceso a esta funcin ha sido permitido a los polticas y procedimientos apropiados para la segregacin adecuada de funciones. Los perodos contables no usuarios en finanzas, almacn e ingreso de rdenes. La razn MS probable para dicho amplio deberan ser cambiados a intervalos regulares, sino que se deberan establecer de manera permanente. El acceso es: Muchas organizaciones requieren que todos los empleados toman una vacacin obligatoria de una semana o ms para: Las vacaciones requeridas de una semana o ms de duracin en la que alguien que no sea el empleado regular realice la funcin del puesto de trabajo es a menudo obligatoria para las posiciones importantes. Esto reduce la oportunidad de cometer actos indebidos o ilegales, y durante este tiempo puede ser posible descubrir cualquier actividad fraudulenta que estuviera ocurriendo. Las opciones A, C y D todas podran Un administrador de LAN no debera tener responsabilidades de programacin pero puede tener responsabilidades de usuario final. El administrador de LAN puede reportarse al director de la IPF o, en una operacin descentralizada, al gerente de usuario final. En las organizaciones pequeas, el administrador de LAN puede tambin ser responsable de la administracin de seguridad del LAN.

II

II

Un administrador de LAN estara normalmente restringido de:

II

Un empleado de SI de largo plazo que cuenta con un antecedente tcnico fuerte y con amplia La independencia debera ser constantemente evaluada por el auditor y la gerencia. Esta evaluacin debera los intereses financieros y previas asignaciones y experiencia gerencial ha aplicado para una posicin vacante en el departamento de auditora deconsiderar factores tales como las relaciones personales, responsabilidades del puesto de trabajo. El hecho que el empleado haya trabajado en SI por muchos aos SI. La determinacin de si se debe contratar a esta persona para esta posicin debera basarse en no puede por s mismo asegurar la credibilidad. Las necesidades del departamento de auditora deberan ser la experiencia de la persona y en: Un auditor de SI debera preocuparse cuando un analista de telecomunicacin: Las responsabilidades de un analista de telecomunicaciones incluyen requerimientos de carga de red en trminos de volmenes corrientes y futuros de transacciones (opcin B), evaluar el impacto de la carga de red o los tiempos de respuesta de las terminales y las velocidades de transferencia de datos de red (opcin C) y recomendar procedimientos y mejoras de balanceo de red (opcin D). Monitorear el desempeo Se requiere una definicin de indicadores clave de desempeo antes de implementar un cuadro de mandos o marcador balanceado (balanced scorecard) de TI. Las opciones A, C y D son objetivos.

II

II

Antes de implementar un cuadro de mandos o marcador balanceado (balanced scorecard) de TI, una organizacin debe:

II

Para soportar las metas de una organizacin, el departamento de SI debe tener:

Para asegurar su contribucin a la realizacin de las metas generales de una organizacin, el departamento de SI debe tener planes de largo y corto plazo que sean consistentes con los planes ms amplios de la organizacin para alcanzar sus metas. Las opciones A y C son objetivos, y se necesitaran planes para delinear cmo se alcanzara cada uno de los objetivos. La opcin D podra ser parte del plan general pero se requerira solamente La integracin de SI y del personal de negocios en los proyectos es un aspecto operativo y debe ser considerado mientras se revisa el plan de corto plazo. Un plan estratgico proveera un marco para el plan de corto plazo de SI. Las opciones B, C y D son reas cubiertas por un plan estratgico.

II

Al revisar el plan de corto plazo (tctico) de SI, el auditor de SI debe determinar si:

II

El departamento de IS debe considerar especficamente la forma en que se asignan los recursos en el Qu es lo que un auditor de sistemas considerara MS relevante para la planificacin de corto plazo corto plazo. Las inversiones en TI necesitan estar alineadas con las estrategias principales de la administracin, para el departamento de IS? en lugar de concentrarse en la tecnologa por la tecnologa en s misma. Llevar a cabo estudios de auto evaluacin de control y evaluar las necesidades de hardware no es tan crtico como asignar los recursos durante la

II

Cul de las metas siguientes esperara usted encontrar en el plan estratgico de una organizacin?

La planeacin estratgica pone en movimiento objetivos corporativos o departamentales. La planeacin comprehensiva ayuda a asegurar una organizacin efectiva y eficiente. La planeacin estratgica est orientada al tiempo y a los proyectos, pero tambin debe resolver y ayudar a determinar prioridades para satisfacer las necesidades del negocio. Los planes de largo y corto plazo deberan ser consistentes con los planes ms amplios La planeacin estratgica pone en movimiento objetivos corporativos o departamentales Tanto los planes estratgicos a largo plazo como a corto plazo deberan ser consistentes con los planes ms amplios de la organizacin y los objetivos del negocio para alcanzar estas metas. La respuesta A es incorrecta ya que la gerencia de lnea prepar los planes. El plan estratgico de TI existe para respaldar el plan de negocios de la organizacin. Para evaluar el plan estratgico de TI, el auditor de SI necesitara primero familiarizarse con el plan de negocios.

II

Cul de los siguientes considerara un auditor de SI que es MS importante cuando se evala la estrategia de una organizacin? Que:

II

Un auditor de SI que revisa el plan estratgico de TI de una organizacin debera PRIMERO revisar:

II

Cuando se revisan las estrategias de SI, el auditor de SI puede determinar MEJOR si la estrategia de SIDeterminar si el plan de SI es consistente con la estrategia de la gerencia relaciona la planificacin de SI/TI con los planes del negocio. Las opciones A, C y D soporta los objetivos de negocio de las organizaciones determinando si SI: son mtodos efectivos para determinar si los planes de SI estn en armona con los objetivos del negocio y con las estrategias de la organizacin. La ventaja de un mtodo de abajo hacia arriba para el desarrollo de polticas organizativas es que las polticas: Un mtodo de abajo hacia derivan y se implementan desarrollan posteriormente son ventajas de un mtodo arriba comienza por definir los requerimientos y polticas de nivel operativo, que se como el resultado de evaluaciones de riesgo. Las polticas a nivel de la empresa se con base en una sntesis de las polticas operativas existentes. Las opciones A, C y D de arriba hacia abajo para desarrollar polticas organizativas. Este mtodo asegura que

II

II

Cul de los siguientes es el MAYOR riesgo de la definicin de una poltica inadecuada para propiedad de datos y de sistemas?

Sin una poltica que defina quin tiene la responsabilidad de otorgar acceso a sistemas especficos, hay un mayor riesgo de que uno pueda obtener (se le pueda dar a uno) acceso al sistema cuando de hecho esa persona no debera tener autorizacin. La asignacin de autoridad para otorgar acceso a usuarios especficos, implica una mejor probabilidad de que los objetivos del negocio sern debidamente respaldados. La orientacin del negocio debe ser el tema principal al implementar la seguridad. Por ello, una auditora de las polticas de seguridad de TI debe primordialmente concentrarse en si las polticas de seguridad y control de TI y relacionadas respaldan los objetivos del negocio y de TI. Revisar si las polticas estn disponibles para todos es un objetivo, pero la distribucin no asegura el cumplimiento. La disponibilidad de El cambio requiere que se implementen y ejecuten buenos procesos de administracin de cambios. Hacer un outsourcing a la funcin de SI no est directamente relacionado con la velocidad de cambio tecnolgico. El personal en un departamento tpico de SI est altamente calificado y educado, por lo general no siente que sus puestos de trabajo estn en riesgo y estn preparados para cambiar de trabajo con frecuencia. Todos los empleados deben tener conocimiento de la poltica de seguridad de la empresa para prevenir la revelacin no intencional de informacin sensitiva. La capacitacin es un control preventivo. Los programas de concientizacin de la seguridad para los empleados puede prevenir la revelacin no intencional de informacin sensitiva a personas ajenas.

II

El objetivo PRIMARIO de una auditora de las polticas de seguridad de TI es asegurar que:

II

La velocidad de cambio de la tecnologa aumenta la importancia de:

II

Un auditor de SI encuentra que no todos los empleados tienen conocimiento de la poltica de seguridad de informacin de la empresa. El auditor de SI debe concluir que:

II

Para ser Cuando se ha diseado una poltica de seguridad de informacin, lo MS importante es que la poltica personal. de seguridad de informacin sea: de poco seguridad El desarrollo de una poltica de seguridad de SI es resposabilidad de:

efectiva, una poltica de seguridad de informacin debera llegar a todos los miembros del Almacenar la poltica de seguridad fuera del sitio o en un lugar seguro puede ser aconsejable pero valor si su contenido no es conocido por los empleados de la organizacin. La poltica de de informacin debera ser escrita por los gerentes de unidad de negocios incluyendo SI, pero no

II

A diferencia de otras polticas corporativas, el marco de la poltica de seguridad de sistemas es responsabilidad de la direccin general, la junta directiva. El departamento de SI es responsable de la ejecucin de la poltica, no teniendo ninguna autoridad en el enmarcado de la poltica. El comit de seguridad tambin funciona dentro de la amplia poltica de seguridad definida por la junta directiva. El administrador de la Una poltica sana de seguridad de SI es ms probable que esboce un programa de respuesta para manejar las intrusiones sospechosas. Los programas de correccin, deteccin y monitoreo son todos aspectos de seguridad de informacin, pero probablemente no sern incluidos en una declaracin de poltica de seguridad de SI. La poltica de seguridad provee la estructura amplia de la seguridad, como ha sido dispuesta y aprobada por la alta gerencia. Incluye una definicin de las personas autorizadas para otorgar acceso y la base para otorgarlo. Las opciones A, B y C estn ms detalladas que lo que debera incluirse en una poltica. La identificacin de las aplicaciones requeridas en toda la red debe ser identificada primero. Despus de la identificacin, dependiendo de la ubicacin fsica de estas aplicaciones en la red y el modelo de red, la persona a cargo podr entender la necesidad y las posibles formas de controlar el acceso a estas aplicaciones. Identificar los mtodos para proteger contra las vulnerabilidades identificadas y su anlisis Utilizar un sistema de deteccin de intrusos para reportar sobre los incidentes que ocurren es una implementacin de un programa de seguridad y no es efectivo para establecer un programa de conocimiento de la seguridad. Las opciones B y C no resuelven el conocimiento. El entrenamiento es la nica opcin que est dirigida al conocimiento de la seguridad. La asimilacin de la estructura y la intencin de una poltica de seguridad escrita por parte de los usuarios de los sistemas es crtico para la implementacin exitosa y el mantenimiento de la poltica de seguridad. Uno puede tener un buen sistema de contrasea, pero si los usuarios del sistema mantienen contraseas escritas en su mesa, el sistema de contrasea tiene poco valor. El soporte y dedicacin de la gerencia es Adems de ser una buena prctica, las leyes y regulaciones pueden requerir que una organizacin mantenga informacin que tenga un impacto en los estados financieros. La prevalencia de demandas en las que la comunicacin de correo electrnico es mantenida en el mismo sentido que el formulario oficial de clsico &ldquo;documento&rdquo; hace de la retencin de correspondencia electrnica una necesidad. Todo el correo del nivel mnimo de lnea base para asegurar la la implementacin y el cumplimiento son otros pasos

II

Cul de los siguientes programas es MS probable que una poltica sana de seguridad de informacin incluira, para manejar las intrusiones sospechosas?

II

Cul de los siguientes sera incluido en la poltica de seguridad de SI de una organizacin?

II

Cul de los siguientes es un paso inicial para crear una poltica de firewall?

II

La administracin de una organizacin ha decidido establecer un programa de conocimiento de la seguridad. Cul de los siguientes es MS probable que sea parte del programa?

II

Cul de los siguientes es MS crtico para la implementacin exitosa y el mantenimiento de una poltica de seguridad?

II

Una poltica exhaustiva y efectiva de correo electrnico debera resolver los problemas de estructura de correo electrnico, ejecucin de polticas, monitoreo y:

II

En una organizacin donde se ha definido una lnea base (baseline) de seguridad de TI el auditor de SI El auditor debe primero evaluar la definicin debe PRIMERO asegurar: idoneidad de los controles. La documentacin, adicionales.

II

Para asegurar que la organizacin est cumpliendo con los aspectos de privacidad, un auditor de SI Para asegurar que una organizacin est cumpliendo con los requerimientos de privacidad, el auditor debera tratar primero los requisitos legales y regulatorios. Para cumplir con los requisitos legales y de SI debera PRIMERO revisar: regulatorios, las organizaciones necesitan adoptar la infraestructura apropiada. Despus de entender los requisitos legales y regulatorios, el auditor de SI debera evaluar las polticas, estndares y procedimientos Los objetivos de control de TI son tiles para los auditores de SI, ya que ellos proveen la base para entender: Un objetivo de control de TI se define como la declaracin del resultado deseado o el propsito a ser alcanzado implementando procedimientos de control en una actividad particular de TI. Ellos proveen los objetivos verdaderos para implementar controles y pueden o no ser las mejores prcticas. Las tcnicas son el medio de alcanzar un objetivo, y una poltica de seguridad es un subconjunto de objetivos de control de TI. Una declaracin de poltica refleja la intencin y el respaldo brindado por la gerencia ejecutiva para una seguridad apropiada y establece un punto de inicio para desarrollar el programa de seguridad.

II

II

El paso inicial para establecer un programa de seguridad de informacin es:

II

Un auditor de SI que realiza una revisin de los controles generales de las prcticas de gerencia Cuando se realiza una revisin de los controles generales es importante que un auditor de SI preste atencin al tema de la segregacin de funciones, que est afectada por prcticas de vacaciones /feriados. Las polticas y el de SI relativas al personal debera prestar particular atencin a: cumplimiento de vacaciones obligatorias puede variar dependiendo del pas y de la industria. Las clasificaciones del personal y las polticas de compensaciones justas puede ser una problema moral, no Una organizacin que adquiere otros negocios contina sus sistemas heredados de EDI, y usa Los acuerdos escritos asistiran a la gerencia a asegurar el cumplimiento de los requerimientos externos. de cumplimiento, ello no se puede lograr tres proveedores separados de red de valor agregado (VAN). No existe ningn acuerdo escrito de Mientras que la gerencia debe obtener garanta independiente hasta que exista un contrato. Un aspecto de administrar servicios de terceros es proveer monitoreo, sin VAN. El auditor de SI debe recomendar a la gerencia que: embargo, esto no se puede lograr hasta que exista un contrato. Asegurar que se disponga de acuerdos de De las funciones siguientes, cul es la funcin MS importante que debe realizar la administracin de TI cuando se ha dado un servicio para realizarse por outsourcing? En un ambiente de outsourcing, es crtico que se monitoree el compaa los servicios que se requerimientos contractuales. la compaa depende del desempeo del proveedor del servicio. Por esta razn, desempeo del proveedor de outsourcing para asegurar que ste preste a la requieran. El pago de las facturas es una funcin financiera que se hara por Participar en el diseo de sistemas es un subproducto del monitoreo del

II

II

II

Es apropiado que un auditor de SI de una compaa que est considerando hacer outsourcing de su La responsabilidad primaria del auditor de SI es asegurar que los activos de la compaa estn siendo procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada salvaguardados. Esto es verdad incluso si los activos no residen en las premisas inmediatas. Las oficinas proveedor? prestigiosas de servicio tendrn un plan de continuidad de negocio bien diseado y probado.

II

Una probable ventaja para una organizacin que ha efectuado outsourcing a su procesamiento de servicios de datos es que:

Outsourcing es un acuerdo contractual por el cual la organizacin entrega el control sobre una parte o sobre la totalidad del procesamiento de informacin a una parte externa. Esto se hace con frecuencia para adquirir recursos o experiencia adicionales que no se obtiene desde el interior de la organizacin. De las opciones, el hardware y el control de acceso de software generalmente es irrelevante mientras la funcionalidad, disponibilidad y seguridad puedan ser afectadas, lo cual sera una obligacin contractual especfica. De manera similar, la metodologa de desarrollo no debera de real preocupacin. El contrato debe, sin embargo, especificar quin es el dueo de la propiedad intelectual (i.e., la informacin que est siendo

II

Un auditor de SI que revisa un contrato de outsourcing de las instalaciones de TI esperara que ste defina:

II

Cuando efecta una revisin de la estructura de un sistema de transferencia electrnica deEn el proceso de transferencia de fondos, cuando el esquema de procesamiento est centralizado en un fondos (EFT), un auditor de SI observa que la infraestructura tecnolgica est basada en unpas diferente, podra haber problemas legales de jurisdiccin que pudieran afectar el derecho a realizar una esquema centralizado de procesamiento que ha sido asignado (outsourced) a un proveedor en otrorevisin en el otro pas. Las otras opciones, aunque posibles, no son tan relevantes como el problema de pas. Basado en esta informacin, cul de las siguientes conclusiones debe ser la PRINCIPAL jurisdiccin legal. Una organizacin ha hecho un outsourcing de su desarrollo de software. Cul de los siguientes es responsabilidad de la gerencia de TI de la organizacin? Administrar/Gestionar activamente el cumplimiento de los trminos del contrato para los servicios externalizados (outsourced) es responsabilidad de la gerencia de TI. El pago de facturas es una responsabilidad de finanzas. La negociacin del acuerdo contractual ya habra ocurrido y por lo general es una responsabilidad compartida del departamento legal y de otros departamentos, como por ejemplo TI. El auditor de estn siendo independiente, preocupacin SI debera buscar una verificacin independiente que el ISP pueda realizar las tareas que contratadas. Las referencias de otros clientes proveeran una revisin y verificacin externa, de procedimientos y procesos que sigue el ISP &ndash; aspectos que seran de para el auditor de SI. Verificar las referencias es un medio de obtener una verificacin

II

II

Un auditor de SI debera esperar que cul de los siguientes elementos sean incluidos en la solicitud de propuesta (RFP) cuando SI est adquiriendo servicios de un proveedor de servicios independiente (ISP)?

II

Los riesgos asociados con recopilar evidencia electrnica es MS probable que se reduzcan, en el caso Con una poltica de registros de e-mail bien archivados, es posible el acceso a o la recuperacin de registros de emails especficos, sin revelar otros registros de e-mail confidenciales. Las polticas de seguridad y/o polticas de un e-mail, por una: de auditora no resolveran la eficiencia de recuperacin de registros, y destruir e-mails puede ser un acto ilegal. El resultado (output) del proceso de administracin de riesgos es un input para hacer: El proceso de administracin del riesgo trata sobre la toma de decisiones relacionadas con seguridad especfica, tal como el nivel de riesgo aceptable. Las opciones A, B y D no son las metas en ltima instancia del proceso de administracin del riesgo.

II

II

El auditor de SI debe identificar los activos, buscar vulnerabilidades, y luego identificar las amenazas y la Un auditor de SI fue contratado para revisar la seguridad de un negocio electrnico (ebusiness). La primera tarea del auditor de SI fue examinar cada aplicacin existente de e-business probabilidad de que ocurran. Las opciones A, B y D deberan ser discutidas con el director de sistemas (Chief Information Officer&mdash;CIO) y se debera entregar un reporte al director general (Chief en busca de vulnerabilidades. Cul sera la siguiente tarea? Executive Officer&mdash; CEO.) El reporte debera incluir los hallazgos junto con las prioridades y los costos. Cul de los siguientes es un mecanismo para mitigar los riesgos? Los riesgos se mitigan implementando prcticas apropiadas de seguridad y de control. El seguro es un mecanismo para transferir el riesgo. La auditora y la certificacin son mecanismos de aseguramiento del riesgo, y los contratos y SLAs son mecanismos de asignacin de riesgo. La identificacin de los activos a ser protegidos es el primer paso en el desarrollo de un programa de administracin de riesgos. Un listado de las amenazas que pueden afectar el desempeo de estos activos y el anlisis de criticalidad son pasos posteriores en el proceso. La clasificacin de datos se requiere para definir los controles de acceso, y en el anlisis de la criticalidad. La prctica comn, cuando es difcil calcular las prdidas financieras, es tomar un enfoque cualitativo, en el que el gerente afectado por el riesgo define la prdida financiera en trminos de un factor ponderado (e.g., 1 es un impacto muy bajo para el negocio y 5 es un impacto muy alto). Un ROI es computado cuando hay ahorros o ingresos predecibles, que pueden ser comparados con la inversin que se necesita para realizar los ingresos. La

II

II

Cuando se desarrolla un programa de administracin de riesgos, la PRIMERA actividad que se debe realizar es:

II

Un equipo que lleva a cabo un anlisis de riesgo est teniendo dificultad para proyectar las prdidas financieras que podran resultar de riesgo. Para evaluar las prdidas potenciales el equipo debera:

II

La falta de controles adecuados de seguridad representa:

La falta de controles adecuados de seguridad representa una vulnerabilidad, exponiendo informacin y datos sensitivos al riesgo de daos maliciosos, ataque o acceso no autorizado por hackers, que tiene como consecuencia la prdida de informacin sensitiva, que podra conducir a la prdida de plusvala (goodwill ) para la organizacin. Una definicin sucinta del riesgo es suministrada por las Directivas para la Un proceso de medicin del desempeo/performancia de TI puede usarse para optimizar el desempeo/performancia, medir y administrar productos /servicios, asegurar la responsabilidad y tomar decisiones de presupuesto. Minimizar errores es un aspecto del desempeo/performancia, pero no es el objetivo primario de la administracin del Los mtodos de anlisis proveen un mecanismo, por el cual la gerencia de SI puede determinar cundo y si las actividades de la organizacin se han desviado de los niveles planeados o de los esperados. Estos mtodos incluyen los presupuestos de SI, la planeacin de la capacidad y del crecimiento, los estndares /puntos de referencia de la industria, las prcticas de gerencia financiera y el logro de las metas. La gerencia de El gobierno de seguridad de informacin, cuando est debidamente implementado, debe proveer cuatro resultados bsicos. Estos son alineamiento estratgico, entrega de valor, manejo del riesgo y medida del desempeo. La alineacin estratgica provee datos de entrada (input) para los requerimientos de seguridad impulsados por los requerimientos de la empresa. La entrega de valor provee un conjunto estndar de prcticas

II

Cul de los siguientes es el objetivo PRIMARIO de un proceso de medicin de desempeo/performancia de TI?

II

Cul de lo siguiente proveera un mecanismo por el cual la gerencia de SI puede determinar cundo, y si, las actividades de la empresa se han desviado de los niveles planeados, o de los esperados?

II

Como resultado del gobierno de seguridad de informacin, la alineacin estratgica dispone:

II

Las juntas directivas y la gerencia ejecutiva pueden usar el modelo de madurez de gobierno de seguridad de En una organizacin, las responsabilidades de seguridad de TI estn claramente asignadas y para establecer clasificaciones para la seguridad en sus organizaciones. Los rangos son ejecutadas y se efecta de manera consistente un anlisis del riesgo de la seguridad de TI y delinformacin inexistentes, iniciales, repetibles, definidos, manejados y optimizados. Cuando las responsabilidades de la impacto. Qu nivel de clasificacin representa esto en el modelo de madurez de gobierno de seguridad de TI estn claramente asignadas y ejecutadas y se realiza de manera consistente un anlisis del riesgo seguridad de informacin? Cul de las siguientes mejores prcticas de gobierno de TI mejora el alineamiento estratgico? La alta gerencia media entre los imperativos del negocio y la tecnologa es una mejor prctica de alineamiento estratgico de TI. Los riesgos del proveedor y del socio que estn siendo manejados es una mejor prctica del manejo del riesgo. Una base de conocimientos de los clientes, productos, mercados y procesos que est instalada es una mejor prctica de entrega de valor de TI. Una infraestructura que es suministrada para Un gobierno efectivo de TI requiere que la junta y la gerencia ejecutiva extiendan el gobierno a TI y provean el liderazgo, las estructuras y procesos organizacionales que aseguren que la TI de la organizacin sostiene y extiende las estrategias y objetivos de la organizacin y que la estrategia est en armona con la estrategia del negocio. La opcin A es incorrecta porque es la estrategia de TI la que extiende los objetivos Para analizar los riesgos de TI, es necesario evaluar las amenazas y vulnerabilidades usando mtodos cualitativos o cuantitativos de evaluacin del riesgo. Las opciones B, C y D son potencialmente insumos tiles para el proceso de evaluacin del riesgo, pero por s mismas no son suficientes. Basar una evaluacin en las prdidas pasadas no reflejar de manera adecuada los cambios inevitables a los activos, la y la es

II

II

Un gobierno efectivo de TI requiere estructuras y procesos organizacionales para asegurar que:

II

La evaluacin de los riesgos de TI se logra MEJOR:

II

Slo revisar los registros de transacciones y de aplicacin directamente resuelve la amenaza planteada por Cuando existe preocupacin por la segregacin de funciones entre el personal de soporte y los segregacin deficiente de funciones. La revisin es un medio de detector el comportamiento inapropiado usuarios finales, cul sera un control compensatorio adecuado? tambin disuade de uso inapropiado, porque las personas que pueden de otro modo tentarse de explotar situacin estn concientes de la probabilidad de ser atrapados. La segregacin inadecuada de funciones

II

Dar responsabilidad a las unidades del negocio sobre el desarrollo de aplicaciones conducir MUY probablemente a:

Al desarrollar aplicaciones en las evadir los controles. Las opciones las funciones de SI a las unidades ejemplo, como las personas de

unidades de negocio, los usuarios ahora a cargo de las aplicaciones podran A, C y D no estn relacionadas con, ni puede asumirse que resulten de, mover de negocio; de hecho, en algunos casos, se puede asumir lo opuesto. Por la unidad de negocio no tienen experiencia en desarrollar aplicaciones, es

II

Un mtodo de arriba abajo para el desarrollo de las polticas operacionales ayudar a asegurar:

Derivar polticas de nivel inferior de las polticas corporativas (un mtodo de arriba abajo) ayuda a asegurar consistencia en toda la organizacin y consistencia con otras polticas. El mtodo de abajo arriba para el desarrollo de las polticas operativas se deriva como resultado de la evaluacin del riesgo. Un mtodo de arriba abajo por s mismo no asegura que las polticas sean revisadas. El entrenamiento cruzado es un proceso de entrenar ms de una persona para que realice un trabajo o procedimiento especfico. Esta prctica ayuda a reducir la dependencia de una sola persona y asiste en la planeacin de la sucesin. Esto provee el respaldo de personal en el caso de una ausencia y, de ese modo, provee la continuidad de las operaciones. Sin embargo, al usar este mtodo, es prudente hacer evaluar

II

Un auditor de SI que revisa una organizacin que usa prcticas de entrenamiento cruzado debe evaluar el riesgo de:

II

Los controles compensatorios son controles internos que pretenden reducir el riesgo de una debilidad de Cul de los controles siguientes buscara un auditor en un entorno en el cual las funciones no pueden control existente o potencial que puede surgir cuando las funciones no pueden ser segregadas de manera ser segregadas de manera apropiada? apropiada. Los controles que se superponen son dos controles que tratan el mismo objetivo o exposicin de control. Como los controles primarios no se pueden alcanzar cuando las funciones no pueden ser o no estn Cul de lo siguiente es MAS probable que indique que un depsito de datos de cliente debe permanecer en el local en lugar de ser extrado (outsourced ) de una operacin exterior (offshore)? Las leyes de privacidad que prohben el flujo transfronterizo de informacin identificable personalmente hara imposible ubicar un depsito de datos que contenga informacin de clientes en otro pas. Las diferencias de zona horaria y los costos ms elevados de las telecomunicaciones son ms manejables. El desarrollo de software requiere tpicamente especificaciones ms detalladas cuando se trata de operaciones Como el outsourcer compartir un porcentaje de los ahorros logrados, las bonificaciones por cumplimiento en compartir las ganancias proveen un incentive financiero para ir para superar los trminos establecidos del contrato y pueden conducir a ahorros en los costos para el cliente. Las frecuencias de las actualizaciones y las penalizaciones por incumplimiento slo estimularan al outsourcer a que cumpla con los requerimientos La responsabilidad no puede ser transferida a terceros ajenos. Las opciones B, C y D pueden ser efectuadas por entidades externas mientras la responsabilidad contine dentro de la organizacin.

II

II

Para minimizar los costos y mejorar los niveles de servicio, un outsourcer debe buscar cul de las siguientes clusulas de contrato?

II

Cuando una organizacin est seleccionando (outsourcing) su funcin de seguridad informacin, cul de lo siguiente debe ser conservado en la organizacin?

de

II

Cul de los siguientes reduce el impacto potencial de los ataques de ingeniera social?

Como la ingeniera social se basa en el engao del usuario, la mejor contramedida o defensa es un programa de conciencia de la seguridad. Las otras opciones no estn enfocadas al usuario.

II

Cul de los siguientes provee la mejor evidencia de la adecuacin de un programa de conciencia de La adecuacin del contenido de conciencia de la seguridad puede evaluarse mejor determinando si el mismo es revisado y comparado peridicamente con las mejores prcticas de la industria. Las opciones A, B y C proveen la seguridad? medidas para medir diversos aspectos de un programa de conciencia de la seguridad, pero no ayudan a evaluar el contenido.

II

Cul de las metas siguientes esperara usted encontrar en el plan estratgico de una organizacin?

La planeacin estratgica pone en movimiento objetivos corporativos o departamentales. La planeacin comprehensiva ayuda a asegurar una organizacin efectiva y eficiente. La planeacin estratgica est orientada al tiempo y a los proyectos, pero tambin debe resolver y ayudar a determinar prioridades para satisfacer las necesidades del negocio. Los planes de largo y corto plazo deberan ser consistentes con los planes La alta gerencia media entre los imperativos del negocio y la tecnologa es una mejor prctica de alineamiento estratgico de TI. Los riesgos del proveedor y del socio que estn siendo manejados es una mejor prctica del manejo del riesgo. Una base de conocimientos de los clientes, productos, mercados y procesos que est instalada es una mejor prctica de entrega de valor de TI. Una infraestructura que es suministrada para

II

Cul de las siguientes mejores prcticas de gobierno de TI mejora el alineamiento estratgico?

II

Cul de lo siguiente es la MEJOR fuente de informacin para que la administracin use como una Requisitos contractuales son una de las fuentes que deberan ser consultadas para identificar los requerimientos para la administracin de activos de informacin. Las mejores prcticas de Vendedor ayuda en la identificacin de activos que estn sujetos a las leyes y reglamentaciones? proveen una base para evaluar qu grado de competitividad tiene una empresa y los resmenes de incidentes de seguridad son una fuente para determinar the vulnerabilidades asociadas con la infraestructura Cul de lo siguiente es MAS probable que indique que un depsito de datos de cliente debe permanecer en el local en lugar de ser extrado (outsourced ) de una operacin exterior (offshore)? Las leyes de privacidad que prohben el flujo transfronterizo de informacin identificable hara imposible ubicar un depsito de datos que contenga informacin de clientes en diferencias de zona horaria y los costos ms elevados de las telecomunicaciones son ms desarrollo de software requiere tpicamente especificaciones ms detalladas cuando se trata personalmente otro pas. Las manejables. El de operaciones

II

II

Cul de lo siguiente proveera MEJOR garanta de la integridad del nuevo personal?

Una investigacin de los antecedentes es el mtodo primario para asegurar la integridad de un prospectivo miembro del personal. Las referencias son importantes y sera necesario verificarlas, pero no son tan fiables como la investigacin de los antecedentes. La fianza est referenciando al cumplimiento de la debida diligencia, no a la integridad, y las calificaciones/habilidades indicadas en un rsum/curriculum Los mtodos de anlisis proveen un mecanismo, por el cual la gerencia de SI puede determinar cundo y si las actividades de la organizacin se han desviado de los niveles planeados o de los esperados. Estos mtodos incluyen los presupuestos de SI, la planeacin de la capacidad y del crecimiento, los estndares /puntos de referencia de la industria, las prcticas de gerencia financiera y el logro de las metas. La gerencia de

II

Cul de lo siguiente proveera un mecanismo por el cual la gerencia de SI puede determinar cundo, y si, las actividades de la empresa se han desviado de los niveles planeados, o de los esperados?

II

Los controles compensatorios son controles internos que pretenden reducir el riesgo de una debilidad de Cul de los controles siguientes buscara un auditor en un entorno en el cual las funciones no pueden control existente o potencial que puede surgir cuando las funciones no pueden ser segregadas de manera ser segregadas de manera apropiada? apropiada. Los controles que se superponen son dos controles que tratan el mismo objetivo o exposicin de control. Como los controles primarios no se pueden alcanzar cuando las funciones no pueden ser o no Cul de los siguientes considerara un auditor de SI que es MS importante cuando se evala la estrategia de una organizacin? Que: La planeacin estratgica pone en movimiento objetivos corporativos o departamentales Tanto los planes estratgicos a largo plazo como a corto plazo deberan ser consistentes con los planes ms amplios de la organizacin y los objetivos del negocio para alcanzar estas metas. La respuesta A es incorrecta ya que la gerencia de lnea prepar los planes. Sin una poltica que defina quin tiene la responsabilidad de otorgar acceso a sistemas especficos, hay un mayor riesgo de que uno pueda obtener (se le pueda dar a uno) acceso al sistema cuando de hecho esa persona no debera tener autorizacin. La asignacin de autoridad para otorgar acceso a usuarios especficos, implica una mejor probabilidad de que los objetivos del negocio sern debidamente respaldados.

II

II

Cul de los siguientes es el MAYOR riesgo de la definicin de una poltica inadecuada para propiedad de datos y de sistemas?

II

Cul de los siguientes es el objetivo PRIMARIO de un proceso de medicin de desempeo/performancia de TI?

Un proceso de medicin del desempeo/performancia de TI puede usarse para optimizar el desempeo/performancia, medir y administrar productos /servicios, asegurar la responsabilidad y tomar decisiones de presupuesto. Minimizar errores es un aspecto del desempeo/performancia, pero no es el objetivo primario de la administracin del desempeo/performancia. La asimilacin de la estructura y la intencin de una sistemas es crtico para la implementacin exitosa puede tener un buen sistema de contrasea, pero en su mesa, el sistema de contrasea tiene poco poltica de seguridad escrita por parte de los usuarios de los y el mantenimiento de la poltica de seguridad. Uno si los usuarios del sistema mantienen contraseas escritas valor. El soporte y dedicacin de la gerencia es sin duda

II

Cul de los siguientes es MS crtico para la implementacin exitosa y el mantenimiento de una poltica de seguridad?

II

Cul de los siguientes es un mecanismo para mitigar los riesgos?

Los riesgos se mitigan implementando prcticas apropiadas de seguridad y de control. El seguro es un mecanismo para transferir el riesgo. La auditora y la certificacin son mecanismos de aseguramiento del riesgo, y los contratos y SLAs son mecanismos de asignacin de riesgo. La identificacin de las aplicaciones requeridas en toda la red debe ser identificada primero. Despus de la identificacin, dependiendo de la ubicacin fsica de estas aplicaciones en la red y el modelo de red, la persona a cargo podr entender la necesidad y las posibles formas de controlar el acceso a estas aplicaciones. Identificar los mtodos para proteger contra las vulnerabilidades identificadas y su anlisis El comit de direccin de SI tpicamente sirve como una junta general de revisin para los principales proyectos de SI y no debe involucrarse en operaciones de rutina, por lo tanto, una de sus funciones es aprobar y monitorear los principales proyectos, la situacin de los planes y presupuestos de SI. El control de cambio de vendedor es un aspecto de outsourcing y debe ser monitoreado por la gerencia de SI. Asegurar una separacin de funciones

II

Cul de los siguientes es un paso inicial para crear una poltica de firewall?

II

Cul de los siguientes es una funcin de un comit de direccin de SI?

II

Cul de los siguientes programas es MS probable que una poltica sana de seguridad de informacin Una poltica sana de seguridad de SI es ms probable que esboce un programa de respuesta para manejar las intrusiones sospechosas. Los programas de correccin, deteccin y monitoreo son todos aspectos de incluira, para manejar las intrusiones sospechosas? seguridad de informacin, pero probablemente no sern incluidos en una declaracin de poltica de seguridad de SI. Cul de los siguientes provee la mejor evidencia de la adecuacin de un programa de conciencia de la La adecuacin del contenido de conciencia de la seguridad puede evaluarse mejor determinando si el mismo es revisado y comparado peridicamente con las mejores prcticas de la industria. Las opciones A, B y C proveen seguridad? medidas para medir diversos aspectos de un programa de conciencia de la seguridad, pero no ayudan a evaluar el contenido. Cul de los siguientes reduce el impacto potencial de los ataques de ingeniera social? Como la ingeniera social se basa en el engao del usuario, la mejor contramedida o defensa es un programa de conciencia de la seguridad. Las otras opciones no estn enfocadas al usuario.

II

II

II

Cul de los siguientes sera incluido en la poltica de seguridad de SI de una organizacin?

La poltica de seguridad provee la estructura amplia de la seguridad, como ha sido dispuesta y aprobada por la alta gerencia. Incluye una definicin de las personas autorizadas para otorgar acceso y la base para otorgarlo. Las opciones A, B y C estn ms detalladas que lo que debera incluirse en una poltica.

II

Cul de los siguientes sera un control compensatorio para mitigar los riesgos resultantes de una segregacin inadecuada de funciones?

Las reconciliaciones de control de lote son un ejemplo de controles compensatorios. Otros ejemplos de controles compensatorios son las bitcoras de transacciones, las pruebas de razonabilidad, las revisiones independientes y las pistas de auditora tales como bitcoras de consola, bitcoras de biblioteca y la fecha de contabilidad del trabajo. Las verificaciones de secuencia y los dgitos de verificacin son ediciones de

II

Es apropiado que un auditor de SI de una compaa que est considerando hacer outsourcing de su La responsabilidad primaria del auditor de SI es asegurar que los activos de la compaa estn siendo procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada proveedor? salvaguardados. Esto es verdad incluso si los activos no residen en las premisas inmediatas. Las oficinas prestigiosas de servicio tendrn un plan de continuidad de negocio bien diseado y probado. El departamento de IS debe considerar especficamente la forma en que se asignan los recursos en el corto Qu es lo que un auditor de sistemas considerara MS relevante para la planificacin de corto plazo plazo. Las inversiones en TI necesitan estar alineadas con las estrategias principales de la administracin, en para el departamento de IS? lugar de concentrarse en la tecnologa por la tecnologa en s misma. Llevar a cabo estudios de auto evaluacin de control y evaluar las necesidades de hardware no es tan crtico como asignar los recursos durante la planificacin Un auditor de SI debera esperar que cul de los siguientes elementos sean incluidos en la solicitud de propuesta (RFP) cuando SI est adquiriendo servicios de un proveedor de servicios independiente (ISP)? El auditor de SI debera buscar una verificacin independiente que el ISP pueda realizar las tareas que estn siendo contratadas. Las referencias de otros clientes proveeran una revisin y verificacin independiente, externa, de procedimientos y procesos que sigue el ISP&mdash;aspectos que seran de preocupacin para el auditor de SI. Verificar las referencias es un medio de obtener una verificacin independiente de que el La integracin de SI y del personal de negocios en los proyectos es un aspecto operativo y debe ser considerado mientras se revisa el plan de corto plazo. Un plan estratgico proveera un marco para el plan de corto plazo de SI. Las opciones B, C y D son reas cubiertas por un plan estratgico.

II

II

II

Al revisar el plan de corto plazo (tctico) de SI, el auditor de SI debe determinar si:

II

Antes de implementar un cuadro de mandos o marcador balanceado (balanced scorecard) de TI, una organizacin debe:

Se requiere una definicin de indicadores clave de desempeo antes de implementar un cuadro de mandos o marcador balanceado (balanced scorecard) de TI. Las opciones A, C y D son objetivos.

II

Como resultado del gobierno de seguridad de informacin, la alineacin estratgica dispone:

El gobierno de seguridad de informacin, cuando est debidamente implementado, debe proveer cuatro resultados bsicos. Estos son alineamiento estratgico, entrega de valor, manejo del riesgo y medida del desempeo. La alineacin estratgica provee datos de entrada (input) para los requerimientos de seguridad impulsados por los requerimientos de la empresa. La entrega de valor provee un conjunto estndar de prcticas de Las actividades centrales de una organizacin generalmente no deberan ser sometidas a outsourcing porque son lo que la organizacin hace mejor. Un auditor que observa eso debera preocuparse. El auditor no debera preocuparse de las otras condiciones porque la especificacin de renegociacin peridica en el contrato de outsourcing es una mejor prctica. No se puede esperar que los contratos de outsourcing cubran toda accin y

II

Con respecto al outsourcing de servicios de TI, cul de las siguientes condiciones debera ser de MAYOR preocupacin para un auditor de SI?

II

La inclusin en descripciones de puestos de trabajo de responsabilidades de seguridad es una forma de Cul de lo siguiente es el MEJOR criterio de desempeo para evaluar la adecuacin del entrenamiento entrenamiento de seguridad y ayuda a asegurar que el personal y la administracin estn en conocimiento de sus de conocimiento de seguridad de una organizacin ? funciones con respecto a la seguridad de informacin. Las otras tres opciones no son criterios para evaluar el entrenamiento de conocimiento de la seguridad. Conocimiento es un criterio para evaluar la importancia que la

II

Cuando efecta una revisin de la estructura de un sistema de transferencia electrnica de fondosEn el proceso de transferencia de fondos, cuando el esquema de procesamiento est centralizado en un pas (EFT), un auditor de SI observa que la infraestructura tecnolgica est basada en un esquema diferente, podra haber problemas legales de jurisdiccin que pudieran afectar el derecho a realizar una centralizado de procesamiento que ha sido asignado (outsourced) a un proveedor en otro pas.revisin en el otro pas. Las otras opciones, aunque posibles, no son tan relevantes como el problema de Basado en esta informacin, cul de las siguientes conclusiones debe ser la PRINCIPAL preocupacin jurisdiccin legal. Slo revisar los registros Cuando existe preocupacin por la segregacin de funciones entre el personal de soporte y los segregacin deficiente de usuarios finales, cul sera un control compensatorio adecuado? tambin disuade de uso situacin estn concientes Cuando revisa el proceso de planeacin estratgica de TI, un auditor de SI debe asegurarse de que el plan: de transacciones y de aplicacin directamente resuelve la amenaza planteada por la funciones. La revisin es un medio de detector el comportamiento inapropiado y inapropiado, porque las personas que pueden de otro modo tentarse de explotar la de la probabilidad de ser atrapados. La segregacin inadecuada de funciones es ms

II

II

El plan estratgico de TI debe incluir una clara articulacin de la misin y de la visin de TI. El plan no necesita ocuparse de la tecnologa, los controles operativos o las prcticas de administracin de proyectos.

II

Cuando se desarrolla un programa de administracin de riesgos, la PRIMERA actividad que se debe realizar es:

La identificacin de los activos a ser protegidos es el primer paso en el desarrollo de un programa de administracin de riesgos. Un listado de las amenazas que pueden afectar el desempeo de estos activos y el anlisis de criticalidad son pasos posteriores en el proceso. La clasificacin de datos se requiere para definir los controles de acceso, y en el anlisis de la criticalidad.

II

Para ser efectiva, una poltica de seguridad de informacin debera llegar a todos los miembros del personal. Cuando se ha diseado una poltica de seguridad de informacin, lo MS importante es que la poltica Almacenar la poltica de seguridad fuera del sitio o en un lugar seguro puede ser aconsejable pero de poco de seguridad de informacin sea: valor si su contenido no es conocido por los empleados de la organizacin. La poltica de seguridad de informacin debera ser escrita por los gerentes de unidad de negocios incluyendo SI, pero no exclusivamente por Cuando se revisan las estrategias de SI, el auditor de SI puede determinar MEJOR si la estrategia de SI Determinar si el plan de SI es consistente con la estrategia de la gerencia relaciona la planificacin de SI/TI con los planes del negocio. Las opciones A, C y D soporta los objetivos de negocio de las organizaciones determinando si SI: son mtodos efectivos para determinar si los planes de SI estn en armona con los objetivos del negocio y con las estrategias de la organizacin. Cuando un empleado es despedido de su servicio, la accin MS importante es: Existe una probabilidad de que un empleado despedido pueda hacer mal uso de los derechos de acceso, por lo tanto, inhabilitar el acceso lgico de un empleado terminado es la accin ms importante que se debe emprender. Todo el trabajo del empleado terminado necesita ser entregado a un empleado designado, sin embargo, esto debe efectuarse despus de implementar la opcin D. Se debe hacer copia de respaldo de La responsabilidad no puede ser transferida a terceros ajenos. Las opciones B, C y D pueden ser efectuadas por entidades externas mientras la responsabilidad contine dentro de la organizacin.

II

II

II

Cuando una organizacin est seleccionando (outsourcing) su funcin de seguridad informacin, cul de lo siguiente debe ser conservado en la organizacin?

II

Dar responsabilidad a las unidades del negocio sobre el desarrollo de aplicaciones conducir MUY probablemente a:

Al desarrollar aplicaciones en las unidades de negocio, los usuarios ahora a cargo de las aplicaciones podran evadir los controles. Las opciones A, C y D no estn relacionadas con, ni puede asumirse que resulten de, mover las funciones de SI a las unidades de negocio; de hecho, en algunos casos, se puede asumir lo opuesto. Por ejemplo, como las personas de la unidad de negocio no tienen experiencia en desarrollar aplicaciones, es

II

En De las funciones siguientes, cul es la funcin MS importante que debe realizar la administracin de un ambiente de outsourcing, es crtico que se monitoree el TI cuando se ha dado un servicio para realizarse por outsourcing? compaa los servicios que se requerimientos contractuales. De lo siguiente, el elemento MS importante para la implementacin exitosa del gobierno de TI es:

la compaa depende del desempeo del proveedor del servicio. Por esta razn, desempeo del proveedor de outsourcing para asegurar que ste preste a la requieran. El pago de las facturas es una funcin financiera que se hara por Participar en el diseo de sistemas es un subproducto del monitoreo del

II

El objetivo clave de un programa de gobierno de TI es dar soporte al negocio; de ese modo, es necesaria la identificacin de estrategias organizacionales para asegurar la alineacin entre TI y el gobierno corporativo. Sin identificacin de estrategias organizacionales, las opciones restantes, an si fueran implementadas, seran inefectivas. Desde una perspectiva de control, la descripcin de un trabajo debe establecer responsabilidad y deber de reportar/imputabilidad (accountability). Esto ayudar a asegurar que se d a los usuarios acceso al sistema en conformidad con las responsabilidades definidas de su trabajo.Las otras opciones no estn directamente relacionadas con los controles. Proveer instrucciones sobre cmo hacer el trabajo y definir la autoridad, Controles compensatorios son controles que pretenden reducir el riesgo de una debilidad de control existente o potencial cuando las funciones no pueden ser correctamente segregadas. Los controles traslapados se complementan entre s y complementan los controles existentes pero no resuelven los riesgos asociados con una segregacin inadecuada de las funciones y no pueden ser usados en situaciones donde las funciones no

II

Desde una perspectiva de control, el elemento clave en las descripciones de trabajos es que:

II

Durante el curso de una auditora, un auditor de SI observa que las funciones no estn debidamente segregadas. En una circunstancia semejante, el Auditor de SI debera buscar:

II

El cuadro de mandos o marcador balanceado (balanced scorecard) de TI es una herramienta de Los resultados financieros han sido tradicionalmente la nica medida general de desempeo. El cuadro de gobierno del negocio que est destinada a monitorear los indicadores de evaluacin del desempeo mandos o marcador balanceado de TI (BSC) es una herramienta de gobierno del negocio de TI dirigida a monitorear los indicadores de evaluacin del desempeo de TI adems de los resultados financieros. El (performance) de TI aparte de: BSC de TI considera otros factores clave de xito, tales como la satisfaccin del cliente, la capacidad de El desarrollo de una poltica de seguridad de SI es resposabilidad de: A diferencia de otras polticas corporativas, el marco de la poltica de seguridad de sistemas es responsabilidad de la direccin general, la junta directiva. El departamento de SI es responsable de la ejecucin de la poltica, no teniendo ninguna autoridad en el enmarcado de la poltica. El comit de seguridad tambin funciona dentro de la amplia poltica de seguridad definida por la junta directiva. El administrador de la

II

II

El efecto MS probable de la falta de participacin de la alta gerencia en la planeacin estratgica de Debe existir un comit de seguimiento para asegurar que las estrategias de TI soporten las metas de la organizacin. La ausencia de un comit de tecnologa de informacin o un comit no compuesto de altos TI es: gerentes sera una indicacin de falta de participacin de la alta gerencia. Esta condicin aumentara el riesgo de que TI no est a la altura de la estrategia de la organizacin. El gobierno de TI es PRIMARIAMENTE responsabilidad del: El gobierno de TI es primariamente responsabilidad de los ejecutivos y de los accionistas (representados por la junta directiva [board of directors.]) El director general es instrumental para implementar el gobierno de TI en conformidad con las instrucciones de la junta directiva. El comit de seguimiento de TI monitorea y facilita el despliegue de los recursos de TI para proyectos especficos en soporte de los planes de negocio. El Para gobernar TI eficazmente, TI y el negocio deben moverse en la misma direccin, requiriendo que los planes de TI estn alineados con los planes de negocio de una organizacin. Los planes de auditora y de inversin no forman parte del plan de TI y el plan de seguridad debe ser al nivel corporativo.

II

II

El gobierno efectivo de TI asegurar que el plan de TI sea consistente con el:

II

El objetivo PRIMARIO de una auditora de las polticas de seguridad de TI es asegurar que:

La orientacin del negocio debe ser el tema principal al implementar la seguridad. Por ello, una auditora de las polticas de seguridad de TI debe primordialmente concentrarse en si las polticas de seguridad y control de TI y relacionadas respaldan los objetivos del negocio y de TI. Revisar si las polticas estn disponibles para todos es un objetivo, pero la distribucin no asegura el cumplimiento. La disponibilidad de Una declaracin de poltica refleja la intencin y el respaldo brindado por la gerencia ejecutiva para una seguridad apropiada y establece un punto de inicio para desarrollar el programa de seguridad.

II

El paso inicial para establecer un programa de seguridad de informacin es:

II

El resultado (output) del proceso de administracin de riesgos es un input para hacer:

El proceso de administracin del riesgo trata sobre la toma de decisiones relacionadas con seguridad especfica, tal como el nivel de riesgo aceptable. Las opciones A, B y D no son las metas en ltima instancia del proceso de administracin del riesgo.

II

En una organizacin donde se ha definido una lnea base (baseline) de seguridad de TI el auditor de SI El auditor debe primero evaluar la definicin debe PRIMERO asegurar: idoneidad de los controles. La documentacin, adicionales.

del nivel mnimo de lnea base para asegurar la la implementacin y el cumplimiento son otros pasos

II

En una organizacin, las responsabilidades de seguridad de TI estn claramente asignadas yLas juntas directivas y la gerencia ejecutiva pueden usar el modelo de madurez de gobierno de seguridad de ejecutadas y se efecta de manera consistente un anlisis del riesgo de la seguridad de TI y delinformacin para establecer clasificaciones para la seguridad en sus organizaciones. Los rangos son inexistentes, impacto. Qu nivel de clasificacin representa esto en el modelo de madurez de gobierno deiniciales, repetibles, definidos, manejados y optimizados. Cuando las responsabilidades de la seguridad de TI estn claramente asignadas y ejecutadas y se realiza de manera consistente un anlisis del riesgo y del impacto seguridad de informacin? Establecer el nivel de riesgo aceptable es responsabilidad de: La alta gerencia debera establecer el nivel de riesgo aceptable, ya que ellos son los responsables en ltima instancia o los responsables finales de la operacin efectiva y eficiente de la organizacin. Las opciones A, C y D deberan actuar como asesores de la alta gerencia para determinar un nivel aceptable de riesgo.

II

II

La administracin de una organizacin ha decidido establecer un programa de conocimiento de la seguridad. Cul de los siguientes es MS probable que sea parte del programa?

Utilizar un sistema de deteccin de intrusos para reportar sobre los incidentes que ocurren es una implementacin de un programa de seguridad y no es efectivo para establecer un programa de conocimiento de la seguridad. Las opciones B y C no resuelven el conocimiento. El entrenamiento es la nica opcin que est dirigida al conocimiento de la seguridad. Para analizar los riesgos de TI, es necesario evaluar las amenazas y vulnerabilidades usando mtodos cualitativos o cuantitativos de evaluacin del riesgo. Las opciones B, C y D son potencialmente insumos tiles para el proceso de evaluacin del riesgo, pero por s mismas no son suficientes. Basar una evaluacin en las prdidas pasadas no reflejar de manera adecuada los cambios inevitables a los activos, proyectos, controles de TI y al entorno estratgico de la empresa. Probablemente tambin hay problemas con el alcance y la calidad de los datos de prdida disponibles a ser evaluados. Las organizaciones comparables tendrn diferencias en sus activos de TI, entorno de control y circunstancias estratgicas. De ah que su experiencia de prdida

II

La evaluacin de los riesgos de TI se logra MEJOR:

II

La falta de controles adecuados de seguridad representa:

La falta de controles adecuados de seguridad representa una vulnerabilidad, exponiendo informacin y datos sensitivos al riesgo de daos maliciosos, ataque o acceso no autorizado por hackers, que tiene como consecuencia la prdida de informacin sensitiva, que podra conducir a la prdida de plusvala (goodwill ) para la organizacin. Una definicin sucinta del riesgo es suministrada por las Directivas para la

II

El establecimiento de perodos contables es una de las actividades crticas de la funcin de finanzas. Otorgar La funcin de establecimiento del libro mayor/mayor general (general ledger) en un paquete acceso a esta funcin al personal en el almacn y en el ingreso de rdenes podra ser a causa de una falta de empresarial (ERP) permite fijar perodos contables. El acceso a esta funcin ha sido permitido a los polticas y procedimientos apropiados para la segregacin adecuada de funciones. Los perodos contables no usuarios en finanzas, almacn e ingreso de rdenes. La razn MS probable para dicho amplio deberan ser cambiados a intervalos regulares, sino que se deberan establecer de manera permanente. El acceso es: requerimiento de registrar las entradas por un perodo contable cerrado es un riesgo. Si fuera necesario, esto La participacin de la alta gerencia es MS importante en el desarrollo de: Los planes estratgicos proveen la base para asegurar que la empresa cumpla sus metas y objetivos. La participacin de la alta gerencia es crtica para asegurar que el plan logra de manera adecuada las metas y objetivos establecidos. Las polticas de SI, procedimientos, normas y lineamientos estn todos estructurados para soportar el plan estratgico general. El cambio requiere que se implementen y ejecuten buenos procesos de administracin de cambios. Hacer un outsourcing a la funcin de SI no est directamente relacionado con la velocidad de cambio tecnolgico. El personal en un departamento tpico de SI est altamente calificado y educado, por lo general no siente que sus puestos de trabajo estn en riesgo y estn preparados para cambiar de trabajo con frecuencia. Un mtodo de abajo hacia derivan y se implementan desarrollan posteriormente son ventajas de un mtodo arriba comienza por definir los requerimientos y polticas de nivel operativo, que se como el resultado de evaluaciones de riesgo. Las polticas a nivel de la empresa se con base en una sntesis de las polticas operativas existentes. Las opciones A, C y D de arriba hacia abajo para desarrollar polticas organizativas. Este mtodo asegura que

II

II

La velocidad de cambio de la tecnologa aumenta la importancia de:

II

La ventaja de un mtodo de abajo hacia arriba para el desarrollo de polticas organizativas es que las polticas:

II

Los objetivos de control de TI son tiles para los auditores de SI, ya que ellos proveen la base para entender:

Un objetivo de control de TI se define como la declaracin del resultado deseado o el propsito a ser alcanzado implementando procedimientos de control en una actividad particular de TI. Ellos proveen los objetivos verdaderos para implementar controles y pueden o no ser las mejores prcticas. Las tcnicas son el medio de alcanzar un objetivo, y una poltica de seguridad es un subconjunto de objetivos de control de TI. Con una poltica de registros de e-mail bien archivados, es posible el acceso a o la recuperacin de registros de emails especficos, sin revelar otros registros de e-mail confidenciales. Las polticas de seguridad y/o polticas de auditora no resolveran la eficiencia de recuperacin de registros, y destruir e-mails puede ser un acto ilegal.

II

Los riesgos asociados con recopilar evidencia electrnica es MS probable que se reduzcan, en el caso de un e-mail, por una:

II

Mientras realiza una auditora de un proveedor de servicio, el Auditor de SI observa que el proveedor Muchos pases han establecido reglamentaciones para proteger la confidencialidad de informacin que se de servicio ha sometido a outsourcing una parte del trabajo a otro proveedor. Como el trabajo implica mantiene en sus pases y/o que es intercambiada con otros pases. Donde el proveedor de servicio ha sometido a outsourcing una parte de sus servicios a otro proveedor de servicios, hay un riesgo potencial de que la el uso de informacin confidencial, la preocupacin PRIMARIA del Auditor de SI debe ser que: confidencialidad de la informacin quede comprometida. Las opciones B y C podran ser preocupaciones pero Muchas organizaciones requieren que todos los empleados toman una vacacin obligatoria de una semana o ms para: Las vacaciones requeridas de una semana o ms de duracin en la que alguien que no sea el empleado regular realice la funcin del puesto de trabajo es a menudo obligatoria para las posiciones importantes. Esto reduce la oportunidad de cometer actos indebidos o ilegales, y durante este tiempo puede ser posible descubrir cualquier actividad fraudulenta que estuviera ocurriendo. Las opciones A, C y D todas podran

II

II

Para asegurar que una organizacin est cumpliendo con los requerimientos de privacidad, el auditor de SI debera PRIMERO revisar:

Para asegurar que la organizacin est cumpliendo con los aspectos de privacidad, un auditor de SI debera tratar primero los requisitos legales y regulatorios. Para cumplir con los requisitos legales y regulatorios, las organizaciones necesitan adoptar la infraestructura apropiada. Despus de entender los requisitos legales y regulatorios, el auditor de SI debera evaluar las polticas, estndares y procedimientos La arquitectura de empresa (EA) implica documentar los activos y procesos de TI de la organizacin en una forma estructurada para facilitar la comprensin, administrar y planear las inversiones de TI. Ello implica tanto un estado corriente como una representacin de un futuro estado optimizado. Al tratar de completar una EA, las organizaciones pueden resolver el problema ya sea desde una perspectiva de tecnologa o

II

Para asistir a una organizacin en la planeacin de las inversiones de TI, el Auditor de SI debera recomendar el uso de:

II

Para ayudar a la administracin a alcanzar la alineacin entre TI y el negocio, un auditor de SI debera Un scorecard balanceado de TI provee el puente entre los objetivos de TI y los objetivos del negocio suplementando la evaluacin financiera tradicional con medidas para evaluar la satisfaccin del cliente, los recomendar el uso de: procesos internos y la capacidad de innovar. La autoevaluacin del control, el anlisis del impacto sobre el negocio y la reingeniera del proceso de negocio son insuficientes para alinear a TI con los objetivos The scorecard balanceado de TI es una herramienta que provee el puente entre los objetivos de TI y los objetivos Para lograr entender la efectividad de la planeacin y la administracin de inversiones en activos de TIdel negocio complementando la evaluacin financiera tradicional con medidas para evaluar la satisfaccin del de una organizacin, un auditor de SI cliente, los procesos internos y la capacidad de innovar. Un modelo de datos de empresa es un documento que debera revisar: define la estructura de datos de una organizacin y la forma en que se interrelacionan los datos. Es til pero no provee informacin sobre las inversiones. La estructura organizativa de TI provee una visin general de las Para minimizar los costos y mejorar los niveles de servicio, un outsourcer debe buscar cul de las siguientes clusulas de contrato? Como el outsourcer compartir un porcentaje de los ahorros logrados, las bonificaciones por cumplimiento en compartir las ganancias proveen un incentive financiero para ir para superar los trminos establecidos del contrato y pueden conducir a ahorros en los costos para el cliente. Las frecuencias de las actualizaciones y las penalizaciones por incumplimiento slo estimularan al outsourcer a que cumpla con los requerimientos

II

II

II

Para resolver el riesgo de falta del personal de operaciones para efectuar la copia de respaldo Mitigacin es la estrategia que dispone la definicin e implementacin de los controles para resolver el riesgo descrito. Prevencin es una estrategia que dispone no implementar ciertas actividades o procesos que diaria, la administracin requiere que el administrador de sistemas firme la salida en la copia de incurriran en mayor riesgo. Transferencia es la estrategia que dispone compartir el riesgo con socios o respaldo diaria. Este es un ejemplo de riesgo: tomar cobertura de seguro. Aceptacin es una estrategia que dispone el reconocimiento formal de la existencia Para soportar las metas de una organizacin, el departamento de SI debe tener: Para asegurar su contribucin a la realizacin de las metas generales de una organizacin, el departamento de SI debe tener planes de largo y corto plazo que sean consistentes con los planes ms amplios de la organizacin para alcanzar sus metas. Las opciones A y C son objetivos, y se necesitaran planes para delinear cmo se alcanzara cada uno de los objetivos. La opcin D podra ser parte del plan general pero se requerira solamente

II

II

Como los registros de actividad de la base de datos registran actividades realizadas por el administrador Un administrador de base de datos est realizando las siguientes actividades, cul de stas debera ser de la base de datos, su eliminacin debera ser efectuada por una persona que no sea el administrador de realizada por una persona diferente? la base de datos. Este es un control compensatorio para ayudar a asegurar que una segregacin apropiada de las funciones est asociada con la funcin del administrador de la base de datos. Un administrador de base Un administrador de LAN estara normalmente restringido de: Un administrador de LAN no debera tener responsabilidades de programacin pero puede tener responsabilidades de usuario final. El administrador de LAN puede reportarse al director de la IPF o, en una operacin descentralizada, al gerente de usuario final. En las organizaciones pequeas, el administrador de LAN puede tambin ser responsable de la administracin de seguridad del LAN.

II

II

Un auditor de SI debera preocuparse cuando un analista de telecomunicacin:

Las responsabilidades de un analista de telecomunicaciones incluyen requerimientos de carga de red en trminos de volmenes corrientes y futuros de transacciones (opcin B), evaluar el impacto de la carga de red o los tiempos de respuesta de las terminales y las velocidades de transferencia de datos de red (opcin C) y recomendar procedimientos y mejoras de balanceo de red (opcin D). Monitorear el desempeo Todos los empleados deben tener conocimiento de la poltica de seguridad de la empresa para prevenir la revelacin no intencional de informacin sensitiva. La capacitacin es un control preventivo. Los programas de concientizacin de la seguridad para los empleados puede prevenir la revelacin no intencional de informacin sensitiva a personas ajenas.

II

Un auditor de SI encuentra que no todos los empleados tienen conocimiento de la poltica de seguridad de informacin de la empresa. El auditor de SI debe concluir que:

II

El auditor de SI debe identificar los activos, buscar vulnerabilidades, y luego identificar las amenazas y la Un auditor de SI fue contratado para revisar la seguridad de un negocio electrnico (ebusiness). La primera tarea del auditor de SI fue examinar cada aplicacin existente de e-business probabilidad de que ocurran. Las opciones A, B y D deberan ser discutidas con el director de sistemas (Chief Information Officer-CIO) y se debera entregar un reporte al director general (Chief Executive Officer- CEO.) en busca de vulnerabilidades. Cul sera la siguiente tarea? El reporte debera incluir los hallazgos junto con las prioridades y los costos. Un auditor de SI que realiza una revisin de los controles generales de las prcticas de gerencia Cuando se realiza una revisin de los controles generales es importante que un auditor de SI preste atencin al tema de la segregacin de funciones, que est afectada por prcticas de vacaciones /feriados. Las polticas y el de SI relativas al personal debera prestar particular atencin a: cumplimiento de vacaciones obligatorias puede variar dependiendo del pas y de la industria. Las clasificaciones del personal y las polticas de compensaciones justas puede ser una problema moral, no un Un auditor de SI que revisa el plan estratgico de TI de una organizacin debera PRIMERO revisar: El plan estratgico de TI existe para respaldar el plan de negocios de la organizacin. Para evaluar el plan estratgico de TI, el auditor de SI necesitara primero familiarizarse con el plan de negocios.

II

II

II

Un auditor de SI que revisa un contrato de outsourcing de las instalaciones de TI esperara que ste defina:

De las opciones, el hardware y el control de acceso de software generalmente es irrelevante mientras la funcionalidad, disponibilidad y seguridad puedan ser afectadas, lo cual sera una obligacin contractual especfica. De manera similar, la metodologa de desarrollo no debera de real preocupacin. El contrato debe, sin embargo, especificar quin es el dueo de la propiedad intelectual (i.e., la informacin que est siendo es un proceso de entrenar ms de una persona para que realice Esta prctica ayuda a reducir la dependencia de una sola persona Esto provee el respaldo de personal en el caso de una ausencia y, las operaciones. Sin embargo, al usar este mtodo, es prudente un trabajo o y asiste en la de ese modo, hacer evaluar

II

El entrenamiento cruzado Un auditor de SI que revisa una organizacin que usa prcticas de entrenamiento cruzado debe evaluar procedimiento especfico. el riesgo de: planeacin de la sucesin. provee la continuidad de

II

Un auditor ha sido asignado para revisar las estructuras de TI y las actividades recientemente La complejidad de las estructuras de TI igualada por la complejidad y entrejuego de responsabilidades y seleccionadas (outsourced) para diversos proveedores. Cul de lo siguiente debera el Auditor de SIgarantas puede afectar o invalidar la efectividad de esas garantas y la certeza razonable de que las necesidades del negocio sern cubiertas. Todas las otras opciones son importantes, pero no tan potencialmente peligrosas determinar PRIMERO? como el entrejuego de las reas diversas y crticas de responsabilidad contractual de los outsourcers. Un comit de direccin de SI debe: Es importante llevar las actas detalladas de los comits de direccin para documentar las decisiones y las actividades del comit de direccin de SI, y la junta directiva debe ser informada a su debido tiempo. La opcin A es incorrecta porque slo la gerencia principal o los niveles altos del personal deben ser miembros de este comit debido a su misin estratgica. La opcin B no es una responsabilidad de este comit

II

II

Un comit de seguimiento de TI revisara los sistemas de informacin PRIMARIAMENTE determinar:

para

La funcin de un comit de seguimiento de TI es asegurar que el departamento de SI est en armona con la misin y los objetivos de la organizacin. Para asegurar esto, el comit debe determinar si los procesos de TI soportan los requerimientos del negocio. Analizar la funcionalidad adicional propuesta, y evaluar tanto la estabilidad del software como la complejidad de la tecnologa, son aspectos demasiado estrechos en su

II

Un caso comprensivo de negocio para cualquier inversin de negocio propuesta relacionada con TI debera Un ejemplo de un beneficio directo a derivarse de una propuesta inversin de negocio relacionada con tener beneficios de negocio claramente definidos para permitir el clculo de los beneficios. Estos beneficios por TI es: lo general caen en dos categoras: directos e indirectos o suaves. Los beneficios directos por lo general comprenden los beneficios financieros cuantificables que se espera que el nuevo sistema genere. Los beneficios Un empleado de SI de largo plazo que cuenta con un antecedente tcnico fuerte y con amplia La independencia debera ser constantemente evaluada por el auditor y la gerencia. Esta evaluacin debera los intereses financieros y previas asignaciones y experiencia gerencial ha aplicado para una posicin vacante en el departamento de auditora deconsiderar factores tales como las relaciones personales, SI. La determinacin de si se debe contratar a esta persona para esta posicin debera basarse enresponsabilidades del puesto de trabajo. El hecho que el empleado haya trabajado en SI por muchos aos no puede por s mismo asegurar la credibilidad. Las necesidades del departamento de auditora deberan la experiencia de la persona y en: Un equipo que lleva a cabo un anlisis de riesgo est teniendo dificultad para proyectar las prdidas financieras que podran resultar de riesgo. Para evaluar las prdidas potenciales el equipo debera: La prctica comn, cuando es difcil calcular las prdidas financieras, es tomar un enfoque cualitativo, en el que el gerente afectado por el riesgo define la prdida financiera en trminos de un factor ponderado (e.g., 1 es un impacto muy bajo para el negocio y 5 es un impacto muy alto). Un ROI es computado cuando hay ahorros o ingresos predecibles, que pueden ser comparados con la inversin que se necesita para realizar los ingresos. La amortizacin se usa en un estado de ganancias y prdidas, no para computar las prdidas potenciales. Emplear Un gobierno efectivo de TI requiere que la junta y la gerencia ejecutiva extiendan el gobierno a TI y provean el liderazgo, las estructuras y procesos organizacionales que aseguren que la TI de la organizacin sostiene y extiende las estrategias y objetivos de la organizacin y que la estrategia est en armona con la estrategia del negocio. La opcin A es incorrecta porque es la estrategia de TI la que extiende los Derivar polticas de nivel inferior de las polticas corporativas (un mtodo de arriba abajo) ayuda a asegurar consistencia en toda la organizacin y consistencia con otras polticas. El mtodo de abajo arriba para el desarrollo de las polticas operativas se deriva como resultado de la evaluacin del riesgo. Un mtodo de arriba abajo por s mismo no asegura que las polticas sean revisadas.

II

II

II

Un gobierno efectivo de TI requiere estructuras y procesos organizacionales para asegurar que:

II

Un mtodo de arriba abajo para el desarrollo de las polticas operacionales ayudar a asegurar:

II

Una opcin deficiente de contraseas y transmisin a travs de lneas de comunicacin no protegidas Las vulnerabilidades representan caractersticas de recursos de informacin que pueden ser explotados por una amenaza. Las amenazas son circunstancias o eventos con el potencial de causar dao a los recursos de son ejemplos de: informacin, las probabilidades representan la probabilidad de que ocurra una amenaza y los impactos representan el efecto o resultado de una amenaza que explota una vulnerabilidad. activamente el cumplimiento de los trminos del contrato para los servicios Una organizacin ha hecho un outsourcing de su desarrollo de software. Cul de los siguientes es Administrar/Gestionar externalizados (outsourced) es responsabilidad de la gerencia de TI. El pago de facturas es una responsabilidad de la gerencia de TI de la organizacin? responsabilidad de finanzas. La negociacin del acuerdo contractual ya habra ocurrido y por lo general es una responsabilidad compartida del departamento legal y de otros departamentos, como por ejemplo TI. Una organizacin que adquiri otros negocios contina utilizando sus sistemas heredados de EDI, y Los acuerdos escritos asistiran a la gerencia a asegurar el cumplimiento de los requerimientos externos. Mientras que la gerencia debe obtener garanta independiente de cumplimiento, ello no se puede lograr hasta usa tres proveedores separados de red de valor agregado (VAN). No existe ningn acuerdo escrito que exista un contrato. Un aspecto de administrar servicios de terceros es proveer monitoreo, sin embargo, para la VAN. El auditor de SI debe recomendar a la gerencia que: esto no se puede lograr hasta que exista un contrato. Asegurar que se disponga de acuerdos de VAN para

II

II

II

Una poltica exhaustiva y efectiva de correo electrnico debera resolver los problemas de estructura de correo electrnico, ejecucin de polticas, monitoreo y:

Adems de ser una buena prctica, las leyes y regulaciones pueden requerir que una organizacin mantenga informacin que tenga un impacto en los estados financieros. La prevalencia de demandas en las que la comunicacin de correo electrnico es mantenida en el mismo sentido que el formulario oficial de clsico &ldquo;documento&rdquo; hace de la retencin de correspondencia electrnica una necesidad. Todo el correo electrnico generado en el hardware de una organizacin es propiedad de la organizacin y una poltica de correo electrnico debe resolver la retencin de mensajes, considerando tanto los litigios conocidos como los impredecibles. La poltica debera tambin ocuparse de la destruccin de correos electrnicos despus de un tiempo especificado para proteger la naturaleza y la confidencialidad de los mensajes mismos. Considerar el tema de la retencin en la poltica de correo electrnico facilitara la recuperacin, reconstruccin y reutilizacin. Outsourcing es un acuerdo contractual por el cual la organizacin entrega el control sobre una parte o sobre la totalidad del procesamiento de informacin a una parte externa. Esto se hace con frecuencia para adquirir recursos o experiencia adicionales que no se obtiene desde el interior de la organizacin.

II

Una probable ventaja para una organizacin que ha efectuado outsourcing a su procesamiento de servicios de datos es que:

II

La falta de controles adecuados de seguridad representa:

La falta de controles adecuados de seguridad representa una vulnerabilidad, exponiendo informacin y datos sensitivos al riesgo de daos maliciosos, ataque o acceso no autorizado por hackers, que tiene como consecuencia la prdida de informacin sensitiva, que podra conducir a la prdida de plusvala (goodwill ) para la organizacin. Una definicin suscinta del riesgo es suministrada por las Directivas para la Gerencia de Seguridad de TI publicadas por la Organizacin Internacional para la Estandarizacin (ISO), que define el riesgo como el "potencial de que una cierta amenaza se aproveche de la vulnerabilidad de un activo o de un grupo de activos para causar prdida o dao a los activos." Los diversos elementos de la definicin son vulnerabilidad, amenaza, activo e impacto. La falta de una funcionalidad adecuada de seguridad en este contexto es una vulnerabilidad.