Un auditor se est realizando una prueba de cumplimiento para determinar si los controles

de polticas y procedimientos de apoyo a la gestin. La prueba ayudar al auditor:

confirmar que el control est funcionando como se ha diseado.
Nota: pruebas de cumplimiento puede ser utilizado para probar la existencia y
efectividad de un proceso definido. Comprender el objetivo de una prueba de
cumplimiento es importante. Los auditores se desea una garanta razonable de
que los controles se estn apoyando en son eficaces. Un control eficaz es uno
que cumple con las expectativas de la direccin y objetivos.
El primer paso en la ejecucin de un mecanismo de gestin de problemas debe ser:
-informes de excepciones.
Nota: El informe de cuestiones operativas normalmente es el primer paso en el
seguimiento de problemas.
Es un auditor est evaluando la minera de datos y auditora de software para ser utilizados
en el futuro es de las auditoras. Cul es el requisito principal que debe cumplir la
herramienta de software? La herramienta de software debe:
capturar con precisin los datos de los sistemas de la empresa sin provocar un
exceso de problemas de rendimiento.
Nota: aunque todas las opciones anteriores son deseables en una herramienta de
software evaluado por la auditora de una minera de datos objetivos, el requisito
ms importante es que la herramienta funciona eficazmente en los sistemas de la
organizacin auditada.
Despus de completar el anlisis de impacto en el negocio (BIA), cul es el siguiente paso
en la planificacin de la continuidad del negocio (BCP) Proceso?
-desarrollar estrategias de recuperacin.
Nota: Una vez que el BIA es completado, la siguiente fase en el desarrollo de BCP
es identificar las distintas estrategias de recuperacin y seleccionar la estrategia
ms adecuada para la recuperacin de un desastre que se cumplan los plazos y
prioridades definidas a travs de la BIA.
En una organizacin pequea, un empleado realiza las operaciones informticas y, cuando
la situacin lo exige, las modificaciones del programa. Cul de los siguientes es el auditor
debera recomendar?
-procedimientos que compruebe que slo se implementan cambios en el
programa aprobado.
Nota: Un auditor se debe considerar la posibilidad de recomendar un mejor
proceso. Es un auditor debe recomendar un proceso de control de cambios
formales que gestiona y puede detectar cambios en la produccin de cdigo
fuente y objeto, tales como el cdigo de las comparaciones, por lo que los
cambios pueden ser objeto de una revisin peridica por parte de un tercero.
Este sera un proceso de control de compensacin.
Una pequea organizacin slo tiene un administrador de bases de datos (DBA). El DBA
tiene acceso root en el servidor de UNIX, que aloja la aplicacin de base de datos. Cmo
debe la segregacin de funciones (SoD) se apliquen en este escenario?
-asegurar que los registros de la base de datos son enviados a un servidor UNIX
donde el DBA no tiene acceso de root.
Nota: Mediante la creacin de registros que el administrador de bases de datos
no se puede borrar o modificar, la segregacin de funciones se aplica.
Un auditor es revisar los controles de base de datos descubrieron que los cambios en la
base de datos durante las horas normales de trabajo se gestionan a travs de un conjunto
estndar de procedimientos. Sin embargo, los cambios realizados despus de las horas
normales requiere slo un pequeo nmero de pasos. En esta situacin, cul de las
siguientes sera considerado un conjunto adecuado de controles de compensacin?
-Use la cuenta de administrador de bases de datos para realizar los cambios, los
cambios de registro y revisar el registro de cambios al da siguiente.
Nota: El uso de una cuenta de administrador de base de datos normalmente est
configurado para registrar todos los cambios realizados y es la ms adecuada
para los cambios realizados fuera del horario normal. El uso de un registro, que
registra los cambios, permite cambios a ser revisada. Debido a un nmero
abreviado de pasos son utilizados, esto representa un conjunto adecuado de
controles de compensacin.
Un auditor es revisar el proceso de gestin de proyectos de TI est revisando un estudio de
factibilidad para un proyecto crtico para construir un nuevo centro de datos. El auditor est
ms preocupado por el hecho de que:
-el impacto organizativo del proyecto no ha sido evaluada.
Nota: El estudio de viabilidad determina los beneficios estratgicos del proyecto.
Por lo tanto, el resultado del estudio de viabilidad determina el impacto
organizativo - un informe de comparacin de costos, beneficios, riesgos, etc. La
cartera de proyectos es una parte de la medicin de la estrategia de la
organizacin.
Una compaa ha contratado a una empresa consultora externa para implantar un sistema
financiero y comercial para sustituir su actual sistema desarrollado en casa. En la revisin
de la propuesta de un enfoque de desarrollo, cul de las siguientes sera de mayor
preocupacin?
-un plan de calidad no es parte de las entregas contratadas.
Nota: un plan de calidad es un elemento esencial de todos los proyectos. Es
fundamental que el proveedor contratado se necesita para producir un plan de
este tipo. El plan de calidad para el desarrollo propuesto contrato debera ser
amplio y abarcar todas las fases del desarrollo e incluyen funciones de negocio
que se incluirn y cundo.
Cul de las siguientes ofrece la mayor garanta de autenticidad del mensaje?
-el cdigo hash se cifra mediante la clave privada del remitente.
Nota: el cdigo hash de cifrado usando la clave privada del remitente
proporciona una garanta de la autenticidad del mensaje y evita que alguien
pueda alterar el cdigo hash.
Cul de las siguientes tcnicas de pruebas de recuperacin de desastres es la forma ms
eficiente para determinar la eficacia del plan de preparacin para las pruebas?
Nota: Preparacin pruebas implican la simulacin de todo el entorno (en fases) a
un costo relativamente bajo y ayudar al equipo a entender mejor y prepararse
para el escenario de prueba.
Un auditor se est revisando el plan de recuperacin de desastres (DRP) de una gran
organizacin con mltiples ubicaciones que requieren alta disponibilidad de los sistemas.
Cul de las siguientes causas la mayor preocupacin?
-los medios de copia de seguridad no se prueban.
Nota: Prueba de copias de seguridad garantiza que los datos de copia de
seguridad son fiables y estarn disponibles cuando se necesiten. Sin copia de
seguridad de datos, la organizacin es no abordar el riesgo de disponibilidad.
Las ventajas especficas de pruebas de caja blanca es que:
- Determina la precisin de los procedimientos o condiciones de una lgica
especfica del programa caminos.
Nota: pruebas de caja blanca se evala la efectividad del programa software
lgica. Concretamente, los datos de prueba se utilizan para determinar la
precisin de los procedimientos o las condiciones de las rutas lgicas del
programa.

Una empresa ha implementado un nuevo client-server enterprise resource planning (ERP).

Las sucursales locales transmiten rdenes de cliente a una central de instalaciones de
fabricacin. Cul de las siguientes es la mejor forma de garantizar que los pedidos se
procesan de manera precisa y los productos correspondientes son producidos?-
Verificacin de la produccin a los pedidos de los clientes
Nota: Verificacin asegurar que fabrica productos coinciden con las rdenes en
el sistema de pedido de cliente.
Durante una evaluacin de prcticas de desarrollo de software, un auditor se considera que
los componentes de software de fuente abierta se utiliza en una aplicacin diseada para
un cliente. Cul es la mayor preocupacin del auditor tendra sobre el uso de software de
fuente abierta?
-La organizacin y el cliente debe cumplir con los trminos de licencia del
software de fuente abierta.
Nota: Hay muchos tipos de licencias de software de fuente abierta y cada uno
tiene diferentes trminos y condiciones. Algunas licencias de software de cdigo
abierto permite el uso de los componentes de software de fuente abierta
libremente, pero requiere que el producto de software completa debe permitir
tambin a los mismos derechos. Esto se conoce como licencias virales, y si la
organizacin de desarrollo no es cuidadoso, sus productos podra violar los
trminos de la licencia por la venta del producto con fines de lucro. El auditor
debera estar ms preocupado con el cumplimiento de licencias de software de
fuente abierta para evitar el riesgo de propiedad intelectual involuntario o
consecuencias jurdicas.
La razn principal para el uso de firmas digitales es garantizar la integridad de los datos:.
Nota: las firmas digitales proporcionan integridad porque la firma digital de un
mensaje firmado (archivo, correo electrnico, documento, etc.) cambia cada vez
que un solo bit del documento cambia; por lo tanto, un documento firmado no
puede ser alterado. Una firma digital proporciona integridad de mensajes, el
rechazo y la prueba de origen.
Mientras se realiza una auditora de la contabilidad interna de la aplicacin de los controles
de la integridad de los datos, un auditor se identifica una importante deficiencia en el
control change management software que admite la aplicacin de contabilidad. La accin
ms apropiada para el auditor es a tomar es:
-siguen poniendo a prueba la aplicacin de controles contables y la mencin de
las deficiencias en el control de software de gestin del cambio en el informe
final.
Nota: Es la responsabilidad del auditor es para informar sobre las conclusiones
que podran tener un impacto material sobre la eficacia de los controles: si estn
o no dentro del alcance de la auditora.
Cul de las siguientes es la habilidad ms importante de un auditor se deben desarrollar
para comprender las limitaciones de la realizacin de una auditora de gestin de
proyectos?
Nota: las auditoras implican a menudo la gestin de los recursos, los resultados,
la programacin y los plazos similares a las buenas prcticas de gestin de
proyectos.
Cul de los siguientes mtodos de muestreo ser el ms eficaz para determinar si las
rdenes de compra emitidas a los proveedores han sido autorizados como por la
autorizacin de muestreo de atributos de matriz?
Nota: el atributo es el mtodo de muestreo utilizado para pruebas de
cumplimiento. En este escenario, el funcionamiento de un control est siendo
evaluada y, por lo tanto, el atributo de si cada orden de compra fue
correctamente autorizada se utilizaran para determinar el cumplimiento con el
control.
Mientras se lleva a cabo una auditora de un proveedor de servicios, un auditor se observa
que el proveedor de servicios ha subcontratado una parte del trabajo a otro proveedor.
Porque el trabajo implica la informacin confidencial, el auditor es la principal preocupacin
debera ser que el:-requisito indispensable para la proteccin de la confidencialidad de la
informacin podra estar en peligro.

Nota: Muchos pases han promulgado reglamentos para proteger la

confidencialidad de la informacin mantenida en sus pases y/o intercambiada
con otros pases. Cuando un proveedor de servicios subcontrata parte de sus
servicios a otro proveedor de servicio, existe un riesgo potencial de que la
confidencialidad de la informacin se vea comprometida.
En el proceso de evaluacin de los controles de cambio de programa, es un auditor
utilizara el cdigo fuente del software de comparacin:
a examinar cambios en el programa de origen sin informacin es personal.
Nota: cuando un auditor se utiliza una comparacin de cdigo fuente para
examinar cambios en el programa de origen sin informacin es personal, el
auditor tiene un objetivo, independiente y relativamente completa seguridad de
modificaciones al programa porque el cdigo fuente comparacin identificar los
cambios.
Una organizacin ha experimentado una gran cantidad de trfico que se desvan de su voz
sobre protocolo de Internet (VoIP) red de paquetes. La organizacin cree que es vctima de
espionaje. Cules de las siguientes opciones puede resultar en el espionaje del trfico de
VoIP?
-corrupcin del protocolo de resolucin de direcciones (ARP) de cach en los
switches Ethernet
Nota: en un conmutador Ethernet existe una tabla de datos conocido como el
protocolo de resolucin de direcciones (ARP), la cach que almacena las
asignaciones entre media access control (MAC) y direcciones IP. Durante el
funcionamiento normal, los switches Ethernet slo permiten dirige el trfico
entre los puertos involucrados en la conversacin y no otros puertos pueden ver
ese trfico. Sin embargo, si la cach de ARP es intencionalmente daado con un
ataque de envenenamiento ARP, algunos conmutadores Ethernet simplemente
"flood" dirige el trfico a todos los puertos del switch, lo que podra permitir a un
atacante controlar el trfico que normalmente no visibles para el puerto en el
que el atacante estaba conectado, y as escuchar las conversaciones de voz
sobre protocolo de Internet (VoIP) de trfico.
Un auditor es evaluar los controles de acceso lgico debe primero:
obtener una comprensin de los riesgos de seguridad para el procesamiento de
la informacin.
Nota: Cuando se evalan los controles de acceso lgico, es un auditor debe
primero obtener una comprensin de los riesgos de seguridad hacia el
procesamiento de la informacin mediante la revisin de la documentacin
pertinente, por investigaciones y llevar a cabo una evaluacin de riesgos. Esto es
necesario para que el auditor pueda garantizar los controles son adecuados para
abordar las situaciones de riesgo.
Un mensaje firmado con una firma digital no puede ser repudiado por el remitente porque
una firma digital:-autentica contenido y el emisor en el momento de la firma.
Nota: Las firmas digitales para el emisor son autenticados por la autoridad de
certificacin y puede ser verificado por el destinatario; por lo tanto, el repudio no
es posible. Adems, el mecanismo de firma digital garantiza la integridad del
contenido del mensaje creando un hash unidireccional en el origen y el destino y,
a continuacin, comparar los dos.
La autenticidad y confidencialidad de mensajes de correo electrnico se logra mejor
mediante la firma del mensaje utilizando la clave privada del remitente y cifrar el mensaje
utilizando la clave pblica del destinatario.
Nota: Al firmar el mensaje con la clave privada del remitente, el destinatario
puede comprobar su autenticidad mediante la clave pblica del remitente. Cifrar
con la clave pblica del destinatario ofrece confidencialidad.
Es una organizacin de auditora debe especificar lo siguiente:
papel de la funcin de auditora.
Nota: Una carta de auditora se establece el papel de la funcin de auditora de
sistemas de informacin. La carta debe describir la autoridad global, el alcance y
las responsabilidades de la funcin de auditora. Debe ser aprobada por el ms
alto nivel de gestin y, en su caso, por el comit de auditora.
Cul de las siguientes situaciones se ofrece el mejor plan de recuperacin de desastres
(DRP) a aplicar para aplicaciones crticas?
-diariamente copias de seguridad de los datos que se almacenan fuera de la
oficina y un sitio caliente situada 140 kilmetros desde el centro de datos
principal.
Nota: las opciones dadas, esta es la respuesta ms adecuada. El plan de
recuperacin de desastres (DRP) incluye un sitio caliente que est lo
suficientemente lejos del centro de datos principal y permite la recuperacin en
caso de un desastre mayor. No tener copias de seguridad en tiempo real puede
ser un problema segn el objetivo de punto de recuperacin (RPO).
Un sitio caliente debe ser implementado como una estrategia de recuperacin de
desastres:
cuando la tolerancia es baja.
Nota: La tolerancia a desastres es el lapso de tiempo durante el cual la empresa
puede aceptar la no disponibilidad de las instalaciones. Si este espacio de tiempo
es baja, las estrategias de recuperacin que puede implementarse dentro de un
corto perodo de tiempo, como un sitio caliente, debe ser usado.
Cul de los siguientes tipos de pruebas de penetracin simula un ataque real y se utiliza
para probar el manejo de incidentes y capacidad de respuesta del destino?
-ensayo doble ciego
Nota: las pruebas de doble ciego es conocido tambin como pruebas de
conocimiento cero. Esto se refiere a una prueba en la que el probador de
penetracin no se da ninguna informacin y la organizacin de destino no le da
ninguna advertencia, ambas partes son "a ciegas" a la prueba. Este es el mejor
escenario para probar la capacidad de respuesta, porque el objetivo reacciona
como si el ataque era real.
El equipo de auditora interna es la auditora los controles sobre las devoluciones de ventas
y est preocupado por el fraude. Cul de los siguientes mtodos de muestreo seran la
mejor manera de ayudar es el descubrimiento de cuentas?
Nota: se utiliza el muestreo de descubrimiento cuando un auditor se est
tratando de determinar si un tipo de evento que ha ocurrido y, por lo tanto, es
adecuado para evaluar el riesgo de fraude y para identificar si una sola aparicin
ha tenido lugar.
Es un auditor es evaluar la eficacia de la organizacin del proceso de gestin de cambios.
Lo ms importante es el control que el auditor debe buscar para asegurar la disponibilidad
del sistema?
-que planes de prueba y procedimientos existen y son seguidos de cerca
Nota: El control ms importante para asegurar la disponibilidad del sistema es
aplicar un buen plan de pruebas y procedimientos que se aplican en forma
sistemtica.
Cul de las siguientes es la mayor causa de preocupacin cuando los datos se envan a
travs de Internet utilizando secured protocolo de transmisin de hipertexto (HTTP)
Protocolo?
-Presencia de spyware en uno de los extremos
Nota: el cifrado utilizando Secure Sockets Layer/Transport Layer Security
(SSL/TLS) tneles hace difcil interceptar los datos en trnsito, pero cuando el
spyware se est ejecutando en el equipo del usuario final, los datos son
recolectados antes del cifrado se lleva a cabo.
El objetivo principal de una transaccin es de auditora:-determinar la responsabilidad y la
rendicin de cuentas para las transacciones procesadas.
Nota: Al habilitar pistas de auditora ayuda a establecer la rendicin de cuentas y
responsabilidad de las transacciones procesadas por el trazado a travs del
sistema de informacin.
Durante la fase de pruebas de aplicaciones de software de una organizacin debe realizar
las pruebas de diseo arquitectnico-pruebas de integracin?

Nota: La prueba de integracin evala la conexin de dos o ms componentes

que pasan informacin de un rea a otra. El objetivo es utilizar los mdulos
probados de la unidad, creando as una estructura integrada de acuerdo con el
diseo.
Cul de los siguientes procesos sern ms efectivos para reducir el riesgo de que el
software no autorizado en un servidor de copia de seguridad se distribuye al servidor de
produccin?
-Revisar los cambios en el sistema de control de versiones de software.
Nota: Es una prctica comn para cambios de software a ser seguidos y
controlados mediante un software de control de versiones. Es un auditor debe
revisar informes o registros de este sistema para identificar el software que es
promovido a la produccin. Slo las versiones mviles en el sistema de control de
versiones (VCS) programa permitir prevenir la transferencia de desarrollo o
versiones anteriores.
En un entorno de base de datos de auditora, el auditor es sern los ms afectados si el
administrador de la base de datos (DBA) est realizando cules de las siguientes funciones?
-la instalacin de parches o actualizaciones para el sistema operativo.
Nota: la instalacin de parches o actualizaciones para el sistema operativo es
una funcin que debe ser realizado por un administrador de sistemas, no por un
DBA. Si un DBA estaban desempeando esta funcin, existira un riesgo basado
en la segregacin de funciones inadecuadas.
Cul de las siguientes es una ventaja de una facilidad de prueba integrado (ITF)?
-pruebas peridicas no requieren procesos de prueba independiente.
Nota: Un ITF crea una entidad ficticia en la base de datos para procesar
transacciones de prueba simultneamente con la entrada en directo. Su ventaja
es que las pruebas peridicas no requieren procesos de prueba independiente.
Es necesaria una planificacin cuidadosa, y datos de prueba deben ser aislados
de los datos de produccin.
Cuando se utiliza una firma digital, el message digest es calculada: por tanto el emisor y el
receptor.
Nota: Una firma digital es un sistema electrnico de identificacin de una
persona o entidad. Se crea mediante el uso de cifrado asimtrico. Para
comprobar la integridad de los datos, el emisor utiliza un algoritmo hash
criptogrficos contra todo el mensaje para crear un resumen del mensaje que se
enva junto con el mensaje. Tras la recepcin del mensaje, el receptor vuelve a
calcular el hash utilizando el mismo algoritmo.
La activacin de un plan de continuidad empresarial de la compaa debe basarse en
criterios predeterminados que abordar: la duracin de la indisponibilidad.
Nota: El inicio de un plan de continuidad empresarial (Accin) deberan basarse
principalmente en el perodo mximo durante el cual una funcin empresarial
puede ser interrumpido antes de la interrupcin pone en peligro el logro de los
objetivos organizacionales.
En el caso de un desastre en el centro de datos, cul de las siguientes sera la estrategia
ms adecuada para permitir una recuperacin completa de una base de datos crtica?
-replicacin en tiempo real a un sitio remoto
Nota: Con replicacin en tiempo real a un sitio remoto, los datos se actualizan
simultneamente en dos ubicaciones separadas; por lo tanto, un desastre en un
sitio no perjudicara a la informacin que se encuentra en el sitio remoto. Esto
supone que ambos sitios no fueron afectados por la misma catstrofe.
Cul de las siguientes es la estrategia ms eficaz para la copia de seguridad de grandes
cantidades de datos de misin crtica cuando los sistemas tienen que estar online para
tomar los pedidos de ventas las 24 horas del da?-tolerante a errores implementando
una solucin de backup disco a disco
Nota: el backup de disco a disco, tambin llamado de disco a disco a cinta o cinta
de cach, es cuando el primario se escriben en el disco de copia de seguridad en
lugar de cinta. Ese respaldo puede ser copiado, clonado o migran a cinta en un
momento posterior (de ah el trmino "disco a disco a cinta"). Esta tecnologa
permite realizar la copia de seguridad de los datos se realiza sin afectar el
rendimiento del sistema y permite una gran cantidad de datos para la copia de
seguridad en una ventana de backup muy corto. En caso de fallo, el sistema
tolerante a fallos puede transferir inmediatamente a otro conjunto de discos.
Una autoridad de certificacin (CA) puede delegar los procesos de:
establecer un vnculo entre la entidad solicitante y su clave pblica.
Nota: el establecimiento de un vnculo entre la entidad solicitante y su clave
pblica es una de las funciones de una autoridad de registro. Esto puede o no
puede ser realizado por una entidad emisora de certificados; por lo tanto, esta
funcin puede ser delegada.
Cul de los siguientes objetivos se puede esperar encontrar en un plan estratgico de la
organizacin?:
convertirse en el proveedor preferido para el producto ofrecido.
Nota: convertirse en el proveedor preferido para el producto es un objetivo
estratgico empresarial, que tiene como objetivo centrar la orientacin global de
la empresa y, por lo tanto, ser una parte del plan estratgico de la organizacin.
Cul de los siguientes es el ms importante factor crtico de xito (CSF) de la aplicacin de
un enfoque basado en el riesgo para el ciclo de vida del sistema?
-una participacin adecuada de los interesados
Nota: El ms importante factor crtico de xito (CSF) es la adecuada participacin y apoyo
de los diferentes el aseguramiento de la calidad, privacidad, legal, auditora, asuntos
regulatorios o equipos de cumplimiento en situaciones de alto riesgo regulatorio. Algunos
cambios en el sistema podrn, sobre la base de calificaciones de riesgo, requieren la firma
de los interesados clave antes de continuar.
Que uno de los siguientes podra ser utilizado para proporcionar una adecuada garanta
automatizada de archivos de datos estn siendo utilizados durante el procesamiento
interno?
-etiquetado, incluidos los registros de cabecera de archivo
Nota: etiquetado internos, incluidos los registros de cabecera de archivo es
correcto, porque puede dar garantas de que los datos correctos se utilizan
archivos y permite la comprobacin automtica.
Cul de los siguientes es el mejor control para implementar para mitigar el riesgo de un
ataque desde el interior?-limitar el acceso de los individuos a las tareas requeridas
por sus trabajos.
Nota: El factor ms importante a considerar es limitar el acceso otorgado a
individuos que nicamente las funciones necesarias para su trabajo. Los ataques
internos pueden ser iniciados por los empleados, consultores y/o contratistas de
una organizacin. Insider-riesgo relacionado es el riesgo ms difcil de defender
contra porque insiders generalmente se han concedido algunas de acceso fsico y
lgico a los sistemas, aplicaciones y redes. Acceso remoto a redes corporativas y
datos tambin es comn, debido a la tecnologa, tales como las redes privadas
virtuales (VPN) y los telfonos inteligentes, y representa una gran amenaza para
los datos de la empresa. Hay una necesidad de poner en prctica controles
fuertes y eficaces para mitigar este riesgo, el ms bsico de los cuales es limitar
el acceso a lo que los usuarios necesitan para realizar sus trabajos.
Cul de las siguientes opciones es la forma ms efectiva de control que deben aplicarse
para garantizar la rendicin de cuentas de los usuarios de la aplicacin tienen acceso a
informacin sensible en el sistema de gestin de recursos humanos (HRMS) y la
interconexin entre aplicaciones para el HRMS seguimientos de auditora?

Nota: la captura de pistas de auditora que el usuario, a qu hora y fecha, junto

con otros detalles, ha llevado a cabo la transaccin y esto ayuda a establecer la
rendicin de cuentas entre los usuarios de la aplicacin.
Cul de los siguientes es el mejor control para mitigar el riesgo de ataques de pharming a
una aplicacin de banca por Internet?
-El sistema de nombres de dominio (DNS) para reforzar la seguridad del servidor
Nota: El ataque de pharming redirige el trfico a un sitio web no autorizado por
la explotacin de las vulnerabilidades del servidor DNS. Para evitar este tipo de
ataque, es necesario eliminar cualquier vulnerabilidad conocida que podra
permitir que el envenenamiento del DNS. Las versiones antiguas de software
DNS son vulnerables a este tipo de ataque y debe ser corregido.
El objetivo principal de una auditora forense:
es la reunin y el anlisis sistemticos de pruebas despus de una anomala del
sistema.
Nota: La recoleccin sistemtica y anlisis de pruebas describe mejor una
auditora forense. Las pruebas recogidas pueden ser analizados y utilizados en
las actuaciones judiciales.
Cul de los siguientes controles de la base de datos permitira asegurar que la integridad
de las transacciones se mantiene en un sistema de procesamiento de transacciones en
lnea la base de datos?
-Compromiso y controles de reversin
Nota: Compromiso y deshacer los controles son directamente pertinentes a la
integridad. Estos controles garantizan que las operaciones de base de datos
lgico que forman una unidad de transaccin ser completado enteramente o en
absoluto; es decir, si, por algn motivo, una transaccin no puede ser
completado, entonces incompleta inserciones, actualizaciones y eliminaciones se
deshacen de forma que la base de datos vuelve a su estado pretransaction.
Es un auditor es evaluar la gestin de la evaluacin de riesgos de los sistemas de
informacin. El auditor deber revisar primero:
a las amenazas y vulnerabilidades que afectan a los activos.
Nota: Uno de los factores clave que deben considerarse al evaluar los riesgos de
los sistemas de informacin es el valor de los sistemas (los activos) y las
amenazas y vulnerabilidades que afectan a los activos. Los riesgos relacionados
con el uso de los activos de informacin deben ser evaluados en forma aislada de
los controles instalados.
El uso de cifrado asimtrico de Internet en un sitio de comercio electrnico, donde hay una
clave privada para el servidor y la clave pblica se distribuye ampliamente por los clientes,
es ms probable para proporcionar comodidad al cliente:
a travs de la autenticidad de la organizacin
Nota: Cualquier sitio falso no ser capaz de cifrar con la clave privada del sitio
real, por lo que el cliente podra no ser capaz de descifrar el mensaje con la clave
pblica.
Cul de los siguientes debe ser una preocupacin primordial del auditor es despus de
descubrir que el alcance de un proyecto se ha cambiado y un estudio del impacto no ha
sido efectuado?
-el tiempo y las repercusiones en los costos causados por el cambio
Nota: Cualquier cambio de alcance podra tener un impacto sobre la duracin y el
costo del proyecto; sa es la razn por la que se lleva a cabo un estudio de
impacto y el cliente es informado de los posibles efectos sobre la programacin y
el costo.
Cul de los siguientes sera un auditor se utiliza para determinar si se han realizado
modificaciones no autorizadas para la produccin de las pruebas de cumplimiento de
programas?
Nota: determinar que slo autoriz modificaciones a programas de produccin
requerira el proceso de gestin del cambio deben ser revisados para evaluar la
existencia de un rastro de pruebas documentales. Pruebas de cumplimiento
ayudara a comprobar que el proceso de gestin del cambio se ha aplicado
sistemticamente.
Una gran organizacin industrial est reemplazando a un obsoleto sistema heredado y
evaluando la posibilidad de comprar una solucin personalizada o desarrollar un sistema in-
house. Cul de las siguientes probablemente influir en la decisin?
-habilidades y conocimientos tcnicos dentro de la organizacin relacionados con
la obtencin y desarrollo de software
Nota: Crtica de competencias bsicas tendrn ms probabilidades de ser
considerado cuidadosamente antes de subcontratar la fase de planificacin de la
aplicacin.
Cul de las siguientes afirmaciones es vlida mientras la redaccin de un plan de
continuidad del negocio (BCP)?-los costes del tiempo de inactividad aumentar con el
tiempo.
Nota: los costes del tiempo de inactividad, como la prdida de ventas, recursos
ociosos, salarios-aumentar con el tiempo. Un plan de continuidad del negocio
(BCP) debe estar preparado para lograr el menor costo posible tiempo de
inactividad.
El mayor beneficio de tener bien definidas las polticas y procedimientos de clasificacin de
datos es:
una reduccin del coste de los controles.
Nota: Un beneficio importante de un proceso de clasificacin de datos definido
sera bajar el costo de la proteccin de datos, asegurando que los controles
adecuados se aplican con respecto a la sensibilidad de los datos. Sin un
adecuado marco de clasificacin, algunos controles de seguridad puede ser
mayor y, por tanto, ms costoso que es necesario en funcin de la clasificacin
de los datos.
Cul de los siguientes es el ms importante para asegurar la continuidad del negocio de
datos de copia de seguridad?
Nota: Los datos son la ms importante de todas las opciones que aparecen, y sin
datos, un negocio no puede recuperarse.
A la hora de auditar un firewall basado en proxy, es un auditor debe:
- Compruebe que los filtros que se aplican a servicios tales como protocolo de
transmisin de hipertexto (HTTP) son eficaces.
Nota: un firewall basado en proxy funciona como un intermediario (proxy) entre
la aplicacin o servicio y el cliente. Se realiza una conexin con el cliente y abre
una conexin diferente con el servidor y, sobre la base de los filtros y reglas
especficas, analiza todo el trfico entre las dos uniones. A diferencia de una
pasarela de filtrado de paquetes, un firewall basado en proxy no reenviar los
paquetes. La correlacin entre las direcciones IP y MAC es una tarea para
protocolos como el protocolo de resolucin de direcciones (ARP)/Reverse Address
Resolution Protocol (RARP).
Durante una evaluacin de riesgo es una organizacin sanitaria sobre informacin sanitaria
protegida (PHI), un auditor es entrevistas es la gestin. Cul de los siguientes hallazgos de
las entrevistas sera de mayor preocupacin para el auditor es?
-el personal tiene que escribir "[PHI]" en el campo Asunto de los mensajes de
correo electrnico que se va a cifrar.
Nota: Siempre habr riesgo de error humano que el personal olvida escribir
ciertas palabras en el campo Asunto. La organizacin debera haber cifrado
automtico configurado para correo saliente para los empleados que trabajan
con informacin de salud protegida (PHI) para proteger la informacin
confidencial.
Cual de las siguientes opciones es un auditor considere la ms relevante para la
planificacin a corto plazo para un departamento de TI?
-la asignacin de recursos
Nota: El departamento de TI debe considerar especficamente la manera en que
se asignan los recursos en el corto plazo. El auditor es garantizar que los
recursos se gestionen adecuadamente.
Cul de las siguientes es ampliamente aceptada como uno de los componentes
fundamentales de gestin de redes de gestin de la configuracin?
Nota: La administracin de la configuracin es ampliamente aceptada como uno
de los componentes clave de cualquier red porque establece cmo funcionar la
red interna y externamente. Tambin se ocupa de la gestin de la configuracin y
monitorizacin de rendimiento. Configuration Management garantiza que la
configuracin y gestin de la red se realiza correctamente, incluyendo la gestin
de cambios en la configuracin, extraccin de contraseas predeterminadas y,
posiblemente, el endurecimiento de la red deshabilitando servicios innecesarios.
Cul de los siguientes es el mejor mtodo para garantizar la confidencialidad de los datos
en un comercial de business-to-business (B2B) aplicacin web?
-Cifrar transacciones utilizando la clave pblica del destinatario
Nota: las operaciones de cifrado con la clave pblica del destinatario
proporcionar confidencialidad mediante criptografa asimtrica. El beneficiario
se har entonces descifrar con una clave privada personal.
Cul de los siguientes debe ser de mayor inters para un auditor est revisando el plan de
continuidad empresarial (BCP) de una organizacin?
-Un equipo de personal de seguridad de la informacin y realizado el anlisis de
impacto en el negocio (BIA)
Nota: Para ser eficaz, la BIA debe llevarse a cabo con el aporte de una amplia
gama de partes interesadas. Los requisitos de negocio incluidas dentro de la BIA
son integrales en definir el promedio de tiempo de reparacin y recuperacin de
los datos en cuestin. Sin aportes empresariales, estos requisitos crticos no
pueden ser correctamente definidos, conduciendo a los activos crticos
menospreciadas.
En una infraestructura de clave pblica (PKI), una autoridad de registro:-verifica la
informacin suministrada por el sujeto que solicita un certificado
Nota: Una autoridad de registro es responsable de verificar la informacin
suministrada por el sujeto que solicita un certificado, y verifica que el solicitante
tiene derecho a solicitar un certificado en nombre de ellos mismos o de su
organizacin
Las decisiones y las acciones de un auditor es muy probablemente afecten a cul de los
siguientes tipos de deteccin de riesgos?
Nota: riesgo de deteccin se ve afectada directamente por el auditor es la
seleccin de procedimientos y tcnicas de auditora. Riesgo de deteccin es el
riesgo de que un comentario no detectar ni notar una emisin de material.
Cul de los siguientes controles seran ms eficaces para reducir el riesgo de prdida
debido a las solicitudes de pago en lnea fraudulentas?
-Transaction Monitoring
Nota: Un sistema de pago electrnico podran ser el blanco de las actividades
fraudulentas. Un usuario no autorizado podra entrar en transacciones falsas.
Mediante la supervisin de las transacciones, el procesador de pagos podra
identificar transacciones potencialmente fraudulentas basndose en los patrones
de uso tpico, los importes monetarios, la ubicacin fsica de las compras, y otros
datos que forman parte del proceso de transaccin.
Un asesor de inversiones emails boletines peridicos a los clientes y quiere una garanta
razonable de que nadie haya modificado el boletn. Este objetivo puede lograrse mediante:
a cifrar el hash del boletn usando la clave privada del asesor
Nota: No es la intencin del asesor de inversiones para mantener la
confidencialidad de la newsletter. El objetivo es asegurar a los receptores que
vino a ellos sin ninguna modificacin (es decir, dar a la integridad del mensaje).
El hash se cifra mediante la clave privada del asesor. Los destinatarios pueden
abrir el boletn, calcular su hash a travs de la newsletter con el mismo
algoritmo, y descifrar el hash recibido utilizando la clave pblica del consejero. Si
los dos valores son iguales, el boletn no fue modificado en trnsito.
El mayor beneficio de la implementacin de un sistema experto:
captura del conocimiento y de la experiencia de las personas de una
organizacin.
Nota: La base para un sistema experto es la captura y grabacin de los
conocimientos y la experiencia de las personas de una organizacin. Esto
permitir que otros usuarios puedan acceder a informacin que anteriormente
ocupaban slo por expertos.
Un auditor es la realizacin de una auditora de la seguridad fsica de una organizacin back
office processing facility sera encontrar cul de las siguientes tcnicas ms eficaces para
determinar que la informacin confidencial de la empresa est segura de ingeniera social?
Nota: a menudo se ha dicho que las personas son el eslabn ms dbil de la
cadena de seguridad y la ingeniera social es una tcnica utilizada para explotar
las vulnerabilidades humanas para obtener informacin confidencial o sensible
de la organizacin. Esta tcnica se puede utilizar para obtener acceso no
autorizado a la organizacin instalaciones y manipular a la gente a divulgar
informacin confidencial, como por ejemplo, un ingeniero social puede caminar
en las instalaciones de la empresa, obtener documentos confidenciales o
informacin dejada en las mesas de los empleados y las impresoras, e incluso
plantear como un miembro del equipo de help desk para obtener contraseas de
usuario.
Proceso de asignacin de la propiedad es esencial para el proyecto de desarrollo de
sistemas porque:
asegura que el diseo del sistema se basa en las necesidades de la empresa.
Nota: la participacin de los propietarios del proceso se asegurar de que el
sistema ser diseado de acuerdo a las necesidades de los procesos de negocio
que dependen de la funcionalidad del sistema. Un signo de fuerza en el diseo de
los titulares del proceso es fundamental antes de que comienza el proceso de
desarrollo.
La mejor regla de filtros para proteger una red de ser utilizado como un amplificador en un
ataque de denegacin de servicio (DoS):
ataque es negar a todos:-el trfico saliente con direcciones IP de origen externo
a la red.
Nota: El trfico saliente con una direccin IP de origen distinto al rango IP interna
de la red no es vlido. En la mayora de los casos, las seales de un ataque de
denegacin de servicio (DoS): ataque originado por un usuario interno o por una
mquina interna previamente comprometido; en ambos casos, la aplicacin de
este filtro detendr el equipo infectado de participar en el ataque.
Cul de las siguientes ayudarn a garantizar la portabilidad de una aplicacin conectada a
una base de datos?
-el uso de un lenguaje de consulta estructurado (SQL).
Nota: El uso de lenguaje de consulta estructurado (SQL) facilita la portabilidad
porque es un estndar usado por muchos sistemas.
Un auditor se ha descubierto que un nuevo parche disponible para una aplicacin, pero el
departamento de TI ha decidido que el parche no es necesario porque otros controles de
seguridad estn en su lugar. Cul debe ser el auditor es recomendar?
-evaluar el riesgo global y, a continuacin, decidir si desea implementar el parche

Nota: Aunque es importante para garantizar que los sistemas estn

correctamente parcheado, una evaluacin de los riesgos debe ser realizado para
determinar la probabilidad y la probabilidad de la vulnerabilidad explotada. Por
lo tanto, el parche se aplica slo si el riesgo de eludir los controles de seguridad
existente es suficiente para justificarlo.
Cual de las siguientes opciones describe mejor el cifrado y descifrado de datos utilizando
un algoritmo de cifrado asimtrico?
-utilice la clave privada del destinatario para descifrar datos cifrados con la clave
pblica del destinatario.
Nota: En el cifrado asimtrico, si el mensaje ha sido cifrado con la clave pblica
del destinatario, slo se puede descifrar con la clave privada del destinatario.
Una organizacin ha instalado recientemente una revisin de seguridad, que se estrell el
servidor de produccin. Para minimizar la probabilidad de que esto ocurra de nuevo, es un
auditor debe:
-asegurar que un buen proceso de gestin del cambio est en su lugar.
Nota: Es un auditor debe revisar el proceso de gestin de cambios, incluyendo
los procedimientos de gestin de parches, y comprobar que el proceso tiene
controles adecuados y hacer sugerencias en consecuencia.
Un auditor se est revisando un nuevo orden basado en la web Sistema de entrada la
semana antes de que empiece a funcionar. El auditor se ha identificado que la aplicacin,
tal como est diseado, puede faltar varios controles crticos respecto de cmo el sistema
almacena informacin de la tarjeta de crdito del cliente. El auditor debe primero:
-Verificar que los requisitos de seguridad han sido debidamente especificado en
el plan del proyecto.
Nota: Si hay problemas de seguridad importantes identificados por un auditor, es
la primera cuestin que se plantea es si los requisitos de seguridad eran
correctas en el plan del proyecto. Dependiendo de si los requisitos fueron
incluidas en el plan afectara a las recomendaciones del auditor.
Un auditor se encuentra fuera de rango en algunas tablas de datos de una base de datos.
Cul de los siguientes controles en caso de que el auditor es recomendado para evitar esta
situacin?
-Implementar restricciones de integridad en la base de datos
Nota: la aplicacin de restricciones de integridad en la base de datos es un
control preventivo, ya que los datos se cotejan con tablas predefinidas o reglas,
evitando cualquier se introduzcan datos indefinido.
Cul de las siguientes es la ms importante para un auditor es considerar al examinar un
acuerdo de nivel de servicio (SLA) con un proveedor de servicios de TI externa?
-garanta de disponibilidad
Nota: El elemento ms importante de un SLA es la trminos mensurables de
rendimiento, tales como acuerdos de tiempo de actividad.
Durante una aplicacin de auditora, el auditor se encuentra varios problemas relacionados
con datos corruptos en la base de datos. Cul de los siguientes es un control correctivo que
el auditor debera recomendar?
-Continuar con los procedimientos de restauracin
Nota: Continuar con los procedimientos de restauracin es un control correctivo.
Los procedimientos de restauracin pueden utilizarse para recuperar las bases
de datos para su ltima conocida versin archivada.
Cul de los siguientes problemas debe ser la mayor preocupacin para el auditor cuando
est revisando una prueba de recuperacin ante desastres de TI?
-durante la prueba, algunos de los sistemas de copia de seguridad defectuoso o
no funciona, provocando la prueba de estos sistemas para fallar.
Nota: El objetivo de este ensayo es poner a prueba el plan de copia de seguridad.
Cuando los sistemas de copia de seguridad no estn trabajando entonces el plan
no puede contarse en un verdadero desastre. Este es el problema ms grave.
Cul de las siguientes afirmaciones mejor ayuda a asegurar que las desviaciones del plan
del proyecto se identifican los criterios de rendimiento del proyecto?
Nota: Para identificar las desviaciones del plan de proyecto, proyecto deben
establecerse criterios de desempeo como referencia. La culminacin con xito
del plan de proyecto es indicativo del xito del proyecto.
El xito de la autoevaluacin del control (CSA) depende en gran medida de:-haber
directivos asuman parte de la responsabilidad de la vigilancia del control.
Nota: El objetivo principal de un programa de CSA es aprovechar la funcin de
auditora interna desplazando algunas de las responsabilidades de supervisin
de control para el rea funcional de los gerentes de lnea. El xito de un
programa de CSA depende del grado en que los directivos asuman la
responsabilidad de los controles. Esto permite a los gerentes de lnea para
detectar y responder a los errores de control de inmediato.
La estrategia de continuidad empresarial ptimo para una entidad est determinada por:
suma de ms bajo costo de tiempo de inactividad y costes de recuperacin
Nota: tanto los costos tienen que ser minimizadas, y la estrategia para que la
suma de los costos es la ms baja es la estrategia ptima.
En el proceso de evaluacin de los controles de cambio de programa, es un auditor
utilizara el cdigo fuente del software de comparacin:
a examinar cambios en el programa de origen sin informacin es personal.
Nota: cuando un auditor, se usa una comparacin de cdigo fuente para examinar
cambios en el programa de origen sin informacin es personal, el auditor tiene
un objetivo, independiente y relativamente completa seguridad de
modificaciones al programa porque el cdigo fuente comparacin identificar los
cambios.
Cul de las siguientes es una de las principales preocupaciones durante una revisin de
actividades de help desk?-incidencias resueltas se cierran sin referencia a los
usuarios.
Nota: La funcin de help desk es un servicio orientado a la unidad. Los usuarios
deben firmar antes de que un incidente puede considerarse cerrado.
En una auditora basada en el riesgo, donde tanto los riesgos inherentes y de control se han
evaluado como alto, un auditor es ms probable compensar esta situacin mediante la
realizacin de pruebas sustantivas adicionales:
Nota: Debido a que tanto los riesgos inherentes y de control son altos en este
caso, sera necesario realizar pruebas adicionales. Pruebas sustantivas obtiene
evidencia de auditora sobre la integridad, exactitud, o la existencia de
actividades o transacciones durante el perodo de auditora.
El fin ltimo de que la gobernabilidad es a:
- fomentar un uso ptimo del mismo.
Nota: Gobernanza de TI se destina a especificar la combinacin de derechos de
toma de decisiones y la rendicin de cuentas que es lo mejor para la empresa. Es
diferente para cada empresa.
Una organizacin utiliza cifrado simtrico. Cul de las siguientes sera una razn vlida para
desplazarse hacia el cifrado asimtrico?
Cifrado simtrico: gestin de claves puede causar que sea difcil.
Nota: En un algoritmo simtrico, cada par de usuarios necesita un nico par de
claves para el nmero de teclas crece y gestin de claves puede ser
abrumadora.
Cul de las siguientes afirmaciones mejor apoya la priorizacin de nuevos proyectos de TI?
-anlisis de la cartera de inversin
Nota: es ms conveniente realizar un anlisis de la cartera de inversiones, que se
presentan no slo un enfoque claro en la estrategia de inversin, sino que
sentar las bases para la terminacin de los proyectos improductivos.
Cules de las siguientes actividades realizadas por un administrador de base de datos
(DBA) debera ser realizada por una persona diferente?
-eliminacin de los registros de actividad de la base de datos
Nota: Debido a que la actividad de la base de datos registra registrar las
actividades realizadas por el DBA, eliminarlos debe ser realizado por una persona
distinta del DBA. Este es un control de compensacin para ayudar a asegurar una
adecuada segregacin de funciones est asociada con el papel del DBA.
Durante una revisin de un subcontratado centro de operaciones de red (NOC), un auditor
se concluye que los procedimientos para supervisar las actividades de administracin de
red remota por la agencia subcontratada son insuficientes. Durante el debate en la
direccin, el jefe de informacin (CIO) justifica esta cuestin como una actividad de help
desk, cubiertos por procedimientos de ayuda, y seala que el sistema de deteccin de
intrusiones (IDS) se activan los registros y las reglas de firewall estn supervisados. Cul
es el mejor curso de accin para el auditor es tomar?
-documentar el hallazgo identificados en el informe de auditora.
Nota: Es la independencia del auditor dictara que la informacin adicional
proporcionada por el auditado sern tomadas en consideracin. Normalmente, un
auditor es no se retraen o revisar el hallazgo.
Cul de los siguientes tipos de riesgo es ms probable encontradas en un Software como
servicio (SaaS) entorno?-problemas de rendimiento debido al mtodo de prestacin
de servicios de Internet.
Nota: El riesgo de que pudiera ser ms probable encontradas en un entorno SaaS
es la velocidad y disponibilidad, debido al hecho de que SaaS se basa en la
Internet para la conectividad.
La tcnica que sera mejor prueba de la existencia de un doble control cuando la auditora
de los sistemas de transferencia del alambre de banco?
-observacin
Nota: Dual control requiere que dos personas llevan a cabo una operacin. La
tcnica de observacin que servira para determinar si dos individuos
involucrarse efectivamente en la ejecucin de la operacin y un elemento de
supervisin. Tambin sera obvio si un individuo es enmscarado y rellenar el
papel de la segunda persona.
La OMS debe revisar y aprobar las entregas del sistema tal y como estn definidas y
realizado para garantizar el xito de la finalizacin y puesta en prctica de un nuevo
sistema de gestin de usuarios de la aplicacin?
Nota: administracin de usuarios asume la propiedad del proyecto y sistemas
resultantes, asigna representantes cualificados para el equipo, y participa
activamente en la definicin de los requisitos del sistema, pruebas de
aceptacin, y la formacin de usuarios. Administracin de usuarios del sistema
debe revisar y aprobar entregas ya estn definidas y realizado o ejecutado.
Despus de revisar el plan de recuperacin de desastres (DRP) proceso de una
organizacin, un auditor se solicita una reunin con la gerencia de la empresa para discutir
los hallazgos. Cul de las siguientes opciones describe mejor el objetivo principal de este
encuentro?
-confirmando la exactitud objetiva de los resultados.

Nota: El objetivo de la reunin es para confirmar la exactitud de los resultados de

la auditora, y presentan una oportunidad para la administracin para acordar o
responder a las recomendaciones de medidas correctivas.
Cul de los siguientes controles preventivos mejor ayuda a asegurar una aplicacin web
Developer Training?
Nota: las opciones dadas, enseando a los desarrolladores escribir cdigo seguro
es la mejor manera de asegurar una aplicacin web.
Cul es la mejor forma de comprobar que una firma digital es vlida?. Compruebe que el
certificado de la clave pblica del remitente es de una autoridad de certificacin (CA)
Nota: Las firmas digitales estn habilitados mediante la clave privada del
remitente. La CA se une la identidad de la clave pblica con la clave privada del
remitente para permitir la identificacin del remitente.
Valida las firmas digitales en una aplicacin de software de correo electrnico:
ayuda a detectar spam.
Nota: validar las firmas electrnicas basadas en certificados reconocidos que son
creados por una entidad emisora de certificados (CA), con las normas tcnicas
requeridas para asegurarse de que la llave no puede ser forzado ni reproducirse
en un tiempo razonable. Dichos certificados slo se entregan a travs de una
autoridad de registro (RA) despus de una prueba de identidad ha sido
aprobada. Utilizando firmas fuerte en el trfico de correo electrnico, no rechazo
puede ser garantizada y un remitente puede ser rastreados. El destinatario
puede configurar su servidor de correo electrnico del cliente para eliminar
automticamente los correos electrnicos de remitentes especficos.
Un auditor se est revisando un proceso de gestin de contratos para determinar la
viabilidad financiera de un proveedor de software para una aplicacin empresarial crtica.
Es un auditor debe determinar si el proveedor est considerado:
puede apoyar a la organizacin en el largo plazo.
Nota: la viabilidad financiera a largo plazo de un proveedor es esencial para
obtener el mximo valor para la organizacin, es ms probable que un proveedor
financieramente slido estara en el negocio por un largo perodo de tiempo y,
por tanto, ms propensos a ser capaz de proporcionar apoyo a largo plazo para el
producto adquirido.