CAPITULO II

21. Un auditor de SI debera esperar que cul de los siguientes elementos sean incluidos en la solicitud de
propuesta (RFP) cuando SI est adquiriendo servicios de un proveedor de servicios independiente (ISP)?
A. Referencias de otros clientes
B. Modelo de acuerdo de nivel de servicio.
C. Acuerdo de mantenimiento
D. Plan de conversin.
22. Una probable ventaja para una organizacin que ha efectuado outsourcing a su procesamiento de
servicios de datos es que:
A. la experiencia que se necesita de SI puede obtenerse desde el exterior.
B. se puede ejercer mayor control sobre el procesamiento.
C. se pueden establecer y ejecutar internamente prioridades de procesamiento.
D. se requiere mayor participacin del usuario para comunicar las necesidades del usuario.
23. Un auditor de SI que realiza una revisin del departamento de SI descubre que no existen
procedimientos formales de aprobacin. En ausencia de estos procedimientos, el gerente de SI ha estado
aprobando arbitrariamente proyectos a los niveles superiores de la gerencia para su aprobacin. El auditor
de SI debera recomendar como un PRIMER curso de accin que:
A. los usuarios participen en la revisin y en el proceso de aprobacin.
B. se adopten y documenten procedimientos formales de aprobacin.
C. los proyectos sean referidos a los niveles apropiados de la gerencia para su aprobacin.
D. la descripcin del puesto de trabajo del gerente de SI sea cambiada para que incluya la autoridad de
aprobacin.
24. Una organizacin ha hecho un outsourcing de su desarrollo de software. Cul de los siguientes es
responsabilidad de la gerencia de TI de la organizacin?
A. Pagar por los servicios de proveedor
B. Participar en el diseo de sistemas con el proveedor
C. Administrar/ Gestionar el cumplimiento del contrato para los servicios externalizados
(outsourced)
D. Negociar un acuerdo contractual con el proveedor
25. Un auditor de SI debera preocuparse cuando un analista de telecomunicacin:
A. monitorea el desempeo de sistemas y rastrea problemas resultantes de cambios de programa.
B. revisa los requerimientos de carga de red en trminos de volmenes corrientes y futuros de
transacciones.
C. evala el impacto de la carga de red sobre el tiempo de respuesta de la terminal y las velocidades
de transferencia de datos de red.
D. recomienda procedimientos y mejoras de balanceo de red.
26. Cul de lo siguiente proveera MEJOR garanta de la integridad del nuevo personal?
A. Investigacin de los antecedentes
B. Referencias
C. Fianza
D. Calificaciones enumeradas en un curriculum vitae/ una hoja de vida

CAPITULO II

27. Cul de los siguientes es un control sobre las actividades de administracin de base de datos?
A. Un punto de verificacin de base de datos para reiniciar el procesamiento despus de una falla de
sistema
B. Compresin de base de datos para reducir el espacio no utilizado
C. Revisin de supervisin de los registros de acceso
D. Procedimientos de respaldo y recuperacin para asegurar la disponibilidad de la base de datos
28. Un administrador de datos es responsable de:
A. mantener el software de sistema de base de datos.
B. definir los elementos de datos, los nombre de datos y su relacin.
C. desarrollar estructuras fsicas de base de datos.
D. desarrollar software de sistema de diccionario de datos.
29. Cul de los siguientes procedimientos detectara en forma MS efectiva la carga de paquetes de
software ilegal a una red?
A. El uso de estaciones de trabajo sin disco
B. La verificacin peridica de los discos duros
C. El uso de software antivirus actualizado
D. Las polticas que tienen como consecuencia el despido instantneo si fueran violadas
30. Desde una perspectiva de control, el elemento clave en las descripciones de trabajos es que:
A. proveen instrucciones sobre cmo hacer el trabajo y definen autoridad.
B. son actuales, documentados y el empleado puede disponer de ellos fcilmente.
C. comunican las expectativas especficas de desempeo/performancia del trabajo que tiene la gerencia.
D. establecen responsabilidad y deber de reportar/imputabilidad (accountability) por las acciones del
empleado.
31. Cuando un empleado es despedido de su servicio, la accin MS importante es:
A. la entrega de todos los archivos del empleado a otro empleado designado.
B. sacar una copia de respaldo del trabajo del empleado.
C. notificar a otros empleados sobre la terminacin.
D. inhabilitar el acceso lgico del empleado.
32. Cul de los siguientes programas es MS probable que una poltica sana de seguridad de informacin
incluira, para manejar las intrusiones sospechosas?
A. Respuesta
B. Correccin
C. Deteccin
D. Monitoreo
33. Cul de lo siguiente proveera un mecanismo por el cual la gerencia de SI puede determinar cundo, y
si, las actividades de la empresa se han desviado de los niveles planeados, o de los esperados?
A. Gerencia de calidad

CAPITULO II
B. Mtodos de anlisis de SI
C. Principios de gerencia
D. Estndares /puntos de referencia de la industria (benchmarking)
34. Cul de los siguientes sera un control compensatorio para mitigar los riesgos resultantes de una
segregacin inadecuada de funciones?
A. Verificacin de secuencia
B. Verificacin de dgitos
C. Retencin de documentacin fuente
D. Reconciliaciones de control de lote
35. Las operaciones de TI para una gran organizacin han sido externalizadas (outsourced). Un auditor de
SI que revisa la operacin externalizada debe estar MS preocupado por cul de los hallazgos siguientes?
A. El contrato de outsourcing no cubre la recuperacin de desastre para las operaciones de TI
externalizadas.
B. El proveedor de servicio no tiene procedimientos de gestin de incidentes.
C. Recientemente una base de datos corrompida no pudo ser recuperada a causa de problemas de
administracin /gestin de biblioteca /librera.
D. Los registros (logs) de incidentes no estn siendo revisados.
36. La implementacin de controles de acceso requiere PRIMERO:
A. una clasificacin de los recursos de SI.
B. el etiquetado de los recursos de SI
C. la creacin de una lista de control de accesos
D. un inventario de los recursos de SI
37. En una organizacin donde se ha definido una lnea base (baseline) de seguridad de TI el auditor de SI
debe PRIMERO asegurar:
A. la implementacin.
B. el cumplimiento.
C. la documentacin.
D. la idoneidad (sufficiency).