Un auditor se est realizando una prueba de cumplimiento para determinar si los controles
de polticas y procedimientos de apoyo a la gestin. La prueba ayudar al auditor:
confirmar que el control est funcionando como se ha diseado. Nota: pruebas de cumplimiento puede ser utilizado para probar la existencia y efectividad de un proceso definido. Comprender el objetivo de una prueba de cumplimiento es importante. Los auditores se desea una garanta razonable de que los controles se estn apoyando en son eficaces. Un control eficaz es uno que cumple con las expectativas de la direccin y objetivos. El primer paso en la ejecucin de un mecanismo de gestin de problemas debe ser: -informes de excepciones. Nota: El informe de cuestiones operativas normalmente es el primer paso en el seguimiento de problemas. Es un auditor est evaluando la minera de datos y auditora de software para ser utilizados en el futuro es de las auditoras. Cul es el requisito principal que debe cumplir la herramienta de software? La herramienta de software debe: capturar con precisin los datos de los sistemas de la empresa sin provocar un exceso de problemas de rendimiento. Nota: aunque todas las opciones anteriores son deseables en una herramienta de software evaluado por la auditora de una minera de datos objetivos, el requisito ms importante es que la herramienta funciona eficazmente en los sistemas de la organizacin auditada. Despus de completar el anlisis de impacto en el negocio (BIA), cul es el siguiente paso en la planificacin de la continuidad del negocio (BCP) Proceso? -desarrollar estrategias de recuperacin. Nota: Una vez que el BIA es completado, la siguiente fase en el desarrollo de BCP es identificar las distintas estrategias de recuperacin y seleccionar la estrategia ms adecuada para la recuperacin de un desastre que se cumplan los plazos y prioridades definidas a travs de la BIA. En una organizacin pequea, un empleado realiza las operaciones informticas y, cuando la situacin lo exige, las modificaciones del programa. Cul de los siguientes es el auditor debera recomendar? -procedimientos que compruebe que slo se implementan cambios en el programa aprobado. Nota: Un auditor se debe considerar la posibilidad de recomendar un mejor proceso. Es un auditor debe recomendar un proceso de control de cambios formales que gestiona y puede detectar cambios en la produccin de cdigo fuente y objeto, tales como el cdigo de las comparaciones, por lo que los cambios pueden ser objeto de una revisin peridica por parte de un tercero. Este sera un proceso de control de compensacin. Una pequea organizacin slo tiene un administrador de bases de datos (DBA). El DBA tiene acceso root en el servidor de UNIX, que aloja la aplicacin de base de datos. Cmo debe la segregacin de funciones (SoD) se apliquen en este escenario? -asegurar que los registros de la base de datos son enviados a un servidor UNIX donde el DBA no tiene acceso de root. Nota: Mediante la creacin de registros que el administrador de bases de datos no se puede borrar o modificar, la segregacin de funciones se aplica. Un auditor es revisar los controles de base de datos descubrieron que los cambios en la base de datos durante las horas normales de trabajo se gestionan a travs de un conjunto estndar de procedimientos. Sin embargo, los cambios realizados despus de las horas normales requiere slo un pequeo nmero de pasos. En esta situacin, cul de las siguientes sera considerado un conjunto adecuado de controles de compensacin? -Use la cuenta de administrador de bases de datos para realizar los cambios, los cambios de registro y revisar el registro de cambios al da siguiente. Nota: El uso de una cuenta de administrador de base de datos normalmente est configurado para registrar todos los cambios realizados y es la ms adecuada para los cambios realizados fuera del horario normal. El uso de un registro, que registra los cambios, permite cambios a ser revisada. Debido a un nmero abreviado de pasos son utilizados, esto representa un conjunto adecuado de controles de compensacin. Un auditor es revisar el proceso de gestin de proyectos de TI est revisando un estudio de factibilidad para un proyecto crtico para construir un nuevo centro de datos. El auditor est ms preocupado por el hecho de que: -el impacto organizativo del proyecto no ha sido evaluada. Nota: El estudio de viabilidad determina los beneficios estratgicos del proyecto. Por lo tanto, el resultado del estudio de viabilidad determina el impacto organizativo - un informe de comparacin de costos, beneficios, riesgos, etc. La cartera de proyectos es una parte de la medicin de la estrategia de la organizacin. Una compaa ha contratado a una empresa consultora externa para implantar un sistema financiero y comercial para sustituir su actual sistema desarrollado en casa. En la revisin de la propuesta de un enfoque de desarrollo, cul de las siguientes sera de mayor preocupacin? -un plan de calidad no es parte de las entregas contratadas. Nota: un plan de calidad es un elemento esencial de todos los proyectos. Es fundamental que el proveedor contratado se necesita para producir un plan de este tipo. El plan de calidad para el desarrollo propuesto contrato debera ser amplio y abarcar todas las fases del desarrollo e incluyen funciones de negocio que se incluirn y cundo. Cul de las siguientes ofrece la mayor garanta de autenticidad del mensaje? -el cdigo hash se cifra mediante la clave privada del remitente. Nota: el cdigo hash de cifrado usando la clave privada del remitente proporciona una garanta de la autenticidad del mensaje y evita que alguien pueda alterar el cdigo hash. Cul de las siguientes tcnicas de pruebas de recuperacin de desastres es la forma ms eficiente para determinar la eficacia del plan de preparacin para las pruebas? Nota: Preparacin pruebas implican la simulacin de todo el entorno (en fases) a un costo relativamente bajo y ayudar al equipo a entender mejor y prepararse para el escenario de prueba. Un auditor se est revisando el plan de recuperacin de desastres (DRP) de una gran organizacin con mltiples ubicaciones que requieren alta disponibilidad de los sistemas. Cul de las siguientes causas la mayor preocupacin? -los medios de copia de seguridad no se prueban. Nota: Prueba de copias de seguridad garantiza que los datos de copia de seguridad son fiables y estarn disponibles cuando se necesiten. Sin copia de seguridad de datos, la organizacin es no abordar el riesgo de disponibilidad. Las ventajas especficas de pruebas de caja blanca es que: - Determina la precisin de los procedimientos o condiciones de una lgica especfica del programa caminos. Nota: pruebas de caja blanca se evala la efectividad del programa software lgica. Concretamente, los datos de prueba se utilizan para determinar la precisin de los procedimientos o las condiciones de las rutas lgicas del programa.
Una empresa ha implementado un nuevo client-server enterprise resource planning (ERP).
Las sucursales locales transmiten rdenes de cliente a una central de instalaciones de fabricacin. Cul de las siguientes es la mejor forma de garantizar que los pedidos se procesan de manera precisa y los productos correspondientes son producidos?- Verificacin de la produccin a los pedidos de los clientes Nota: Verificacin asegurar que fabrica productos coinciden con las rdenes en el sistema de pedido de cliente. Durante una evaluacin de prcticas de desarrollo de software, un auditor se considera que los componentes de software de fuente abierta se utiliza en una aplicacin diseada para un cliente. Cul es la mayor preocupacin del auditor tendra sobre el uso de software de fuente abierta? -La organizacin y el cliente debe cumplir con los trminos de licencia del software de fuente abierta. Nota: Hay muchos tipos de licencias de software de fuente abierta y cada uno tiene diferentes trminos y condiciones. Algunas licencias de software de cdigo abierto permite el uso de los componentes de software de fuente abierta libremente, pero requiere que el producto de software completa debe permitir tambin a los mismos derechos. Esto se conoce como licencias virales, y si la organizacin de desarrollo no es cuidadoso, sus productos podra violar los trminos de la licencia por la venta del producto con fines de lucro. El auditor debera estar ms preocupado con el cumplimiento de licencias de software de fuente abierta para evitar el riesgo de propiedad intelectual involuntario o consecuencias jurdicas. La razn principal para el uso de firmas digitales es garantizar la integridad de los datos:. Nota: las firmas digitales proporcionan integridad porque la firma digital de un mensaje firmado (archivo, correo electrnico, documento, etc.) cambia cada vez que un solo bit del documento cambia; por lo tanto, un documento firmado no puede ser alterado. Una firma digital proporciona integridad de mensajes, el rechazo y la prueba de origen. Mientras se realiza una auditora de la contabilidad interna de la aplicacin de los controles de la integridad de los datos, un auditor se identifica una importante deficiencia en el control change management software que admite la aplicacin de contabilidad. La accin ms apropiada para el auditor es a tomar es: -siguen poniendo a prueba la aplicacin de controles contables y la mencin de las deficiencias en el control de software de gestin del cambio en el informe final. Nota: Es la responsabilidad del auditor es para informar sobre las conclusiones que podran tener un impacto material sobre la eficacia de los controles: si estn o no dentro del alcance de la auditora. Cul de las siguientes es la habilidad ms importante de un auditor se deben desarrollar para comprender las limitaciones de la realizacin de una auditora de gestin de proyectos? Nota: las auditoras implican a menudo la gestin de los recursos, los resultados, la programacin y los plazos similares a las buenas prcticas de gestin de proyectos. Cul de los siguientes mtodos de muestreo ser el ms eficaz para determinar si las rdenes de compra emitidas a los proveedores han sido autorizados como por la autorizacin de muestreo de atributos de matriz? Nota: el atributo es el mtodo de muestreo utilizado para pruebas de cumplimiento. En este escenario, el funcionamiento de un control est siendo evaluada y, por lo tanto, el atributo de si cada orden de compra fue correctamente autorizada se utilizaran para determinar el cumplimiento con el control. Mientras se lleva a cabo una auditora de un proveedor de servicios, un auditor se observa que el proveedor de servicios ha subcontratado una parte del trabajo a otro proveedor. Porque el trabajo implica la informacin confidencial, el auditor es la principal preocupacin debera ser que el:-requisito indispensable para la proteccin de la confidencialidad de la informacin podra estar en peligro.
Nota: Muchos pases han promulgado reglamentos para proteger la
confidencialidad de la informacin mantenida en sus pases y/o intercambiada con otros pases. Cuando un proveedor de servicios subcontrata parte de sus servicios a otro proveedor de servicio, existe un riesgo potencial de que la confidencialidad de la informacin se vea comprometida. En el proceso de evaluacin de los controles de cambio de programa, es un auditor utilizara el cdigo fuente del software de comparacin: a examinar cambios en el programa de origen sin informacin es personal. Nota: cuando un auditor se utiliza una comparacin de cdigo fuente para examinar cambios en el programa de origen sin informacin es personal, el auditor tiene un objetivo, independiente y relativamente completa seguridad de modificaciones al programa porque el cdigo fuente comparacin identificar los cambios. Una organizacin ha experimentado una gran cantidad de trfico que se desvan de su voz sobre protocolo de Internet (VoIP) red de paquetes. La organizacin cree que es vctima de espionaje. Cules de las siguientes opciones puede resultar en el espionaje del trfico de VoIP? -corrupcin del protocolo de resolucin de direcciones (ARP) de cach en los switches Ethernet Nota: en un conmutador Ethernet existe una tabla de datos conocido como el protocolo de resolucin de direcciones (ARP), la cach que almacena las asignaciones entre media access control (MAC) y direcciones IP. Durante el funcionamiento normal, los switches Ethernet slo permiten dirige el trfico entre los puertos involucrados en la conversacin y no otros puertos pueden ver ese trfico. Sin embargo, si la cach de ARP es intencionalmente daado con un ataque de envenenamiento ARP, algunos conmutadores Ethernet simplemente "flood" dirige el trfico a todos los puertos del switch, lo que podra permitir a un atacante controlar el trfico que normalmente no visibles para el puerto en el que el atacante estaba conectado, y as escuchar las conversaciones de voz sobre protocolo de Internet (VoIP) de trfico. Un auditor es evaluar los controles de acceso lgico debe primero: obtener una comprensin de los riesgos de seguridad para el procesamiento de la informacin. Nota: Cuando se evalan los controles de acceso lgico, es un auditor debe primero obtener una comprensin de los riesgos de seguridad hacia el procesamiento de la informacin mediante la revisin de la documentacin pertinente, por investigaciones y llevar a cabo una evaluacin de riesgos. Esto es necesario para que el auditor pueda garantizar los controles son adecuados para abordar las situaciones de riesgo. Un mensaje firmado con una firma digital no puede ser repudiado por el remitente porque una firma digital:-autentica contenido y el emisor en el momento de la firma. Nota: Las firmas digitales para el emisor son autenticados por la autoridad de certificacin y puede ser verificado por el destinatario; por lo tanto, el repudio no es posible. Adems, el mecanismo de firma digital garantiza la integridad del contenido del mensaje creando un hash unidireccional en el origen y el destino y, a continuacin, comparar los dos. La autenticidad y confidencialidad de mensajes de correo electrnico se logra mejor mediante la firma del mensaje utilizando la clave privada del remitente y cifrar el mensaje utilizando la clave pblica del destinatario. Nota: Al firmar el mensaje con la clave privada del remitente, el destinatario puede comprobar su autenticidad mediante la clave pblica del remitente. Cifrar con la clave pblica del destinatario ofrece confidencialidad. Es una organizacin de auditora debe especificar lo siguiente: papel de la funcin de auditora. Nota: Una carta de auditora se establece el papel de la funcin de auditora de sistemas de informacin. La carta debe describir la autoridad global, el alcance y las responsabilidades de la funcin de auditora. Debe ser aprobada por el ms alto nivel de gestin y, en su caso, por el comit de auditora. Cul de las siguientes situaciones se ofrece el mejor plan de recuperacin de desastres (DRP) a aplicar para aplicaciones crticas? -diariamente copias de seguridad de los datos que se almacenan fuera de la oficina y un sitio caliente situada 140 kilmetros desde el centro de datos principal. Nota: las opciones dadas, esta es la respuesta ms adecuada. El plan de recuperacin de desastres (DRP) incluye un sitio caliente que est lo suficientemente lejos del centro de datos principal y permite la recuperacin en caso de un desastre mayor. No tener copias de seguridad en tiempo real puede ser un problema segn el objetivo de punto de recuperacin (RPO). Un sitio caliente debe ser implementado como una estrategia de recuperacin de desastres: cuando la tolerancia es baja. Nota: La tolerancia a desastres es el lapso de tiempo durante el cual la empresa puede aceptar la no disponibilidad de las instalaciones. Si este espacio de tiempo es baja, las estrategias de recuperacin que puede implementarse dentro de un corto perodo de tiempo, como un sitio caliente, debe ser usado. Cul de los siguientes tipos de pruebas de penetracin simula un ataque real y se utiliza para probar el manejo de incidentes y capacidad de respuesta del destino? -ensayo doble ciego Nota: las pruebas de doble ciego es conocido tambin como pruebas de conocimiento cero. Esto se refiere a una prueba en la que el probador de penetracin no se da ninguna informacin y la organizacin de destino no le da ninguna advertencia, ambas partes son "a ciegas" a la prueba. Este es el mejor escenario para probar la capacidad de respuesta, porque el objetivo reacciona como si el ataque era real. El equipo de auditora interna es la auditora los controles sobre las devoluciones de ventas y est preocupado por el fraude. Cul de los siguientes mtodos de muestreo seran la mejor manera de ayudar es el descubrimiento de cuentas? Nota: se utiliza el muestreo de descubrimiento cuando un auditor se est tratando de determinar si un tipo de evento que ha ocurrido y, por lo tanto, es adecuado para evaluar el riesgo de fraude y para identificar si una sola aparicin ha tenido lugar. Es un auditor es evaluar la eficacia de la organizacin del proceso de gestin de cambios. Lo ms importante es el control que el auditor debe buscar para asegurar la disponibilidad del sistema? -que planes de prueba y procedimientos existen y son seguidos de cerca Nota: El control ms importante para asegurar la disponibilidad del sistema es aplicar un buen plan de pruebas y procedimientos que se aplican en forma sistemtica. Cul de las siguientes es la mayor causa de preocupacin cuando los datos se envan a travs de Internet utilizando secured protocolo de transmisin de hipertexto (HTTP) Protocolo? -Presencia de spyware en uno de los extremos Nota: el cifrado utilizando Secure Sockets Layer/Transport Layer Security (SSL/TLS) tneles hace difcil interceptar los datos en trnsito, pero cuando el spyware se est ejecutando en el equipo del usuario final, los datos son recolectados antes del cifrado se lleva a cabo. El objetivo principal de una transaccin es de auditora:-determinar la responsabilidad y la rendicin de cuentas para las transacciones procesadas. Nota: Al habilitar pistas de auditora ayuda a establecer la rendicin de cuentas y responsabilidad de las transacciones procesadas por el trazado a travs del sistema de informacin. Durante la fase de pruebas de aplicaciones de software de una organizacin debe realizar las pruebas de diseo arquitectnico-pruebas de integracin?
Nota: La prueba de integracin evala la conexin de dos o ms componentes
que pasan informacin de un rea a otra. El objetivo es utilizar los mdulos probados de la unidad, creando as una estructura integrada de acuerdo con el diseo. Cul de los siguientes procesos sern ms efectivos para reducir el riesgo de que el software no autorizado en un servidor de copia de seguridad se distribuye al servidor de produccin? -Revisar los cambios en el sistema de control de versiones de software. Nota: Es una prctica comn para cambios de software a ser seguidos y controlados mediante un software de control de versiones. Es un auditor debe revisar informes o registros de este sistema para identificar el software que es promovido a la produccin. Slo las versiones mviles en el sistema de control de versiones (VCS) programa permitir prevenir la transferencia de desarrollo o versiones anteriores. En un entorno de base de datos de auditora, el auditor es sern los ms afectados si el administrador de la base de datos (DBA) est realizando cules de las siguientes funciones? -la instalacin de parches o actualizaciones para el sistema operativo. Nota: la instalacin de parches o actualizaciones para el sistema operativo es una funcin que debe ser realizado por un administrador de sistemas, no por un DBA. Si un DBA estaban desempeando esta funcin, existira un riesgo basado en la segregacin de funciones inadecuadas. Cul de las siguientes es una ventaja de una facilidad de prueba integrado (ITF)? -pruebas peridicas no requieren procesos de prueba independiente. Nota: Un ITF crea una entidad ficticia en la base de datos para procesar transacciones de prueba simultneamente con la entrada en directo. Su ventaja es que las pruebas peridicas no requieren procesos de prueba independiente. Es necesaria una planificacin cuidadosa, y datos de prueba deben ser aislados de los datos de produccin. Cuando se utiliza una firma digital, el message digest es calculada: por tanto el emisor y el receptor. Nota: Una firma digital es un sistema electrnico de identificacin de una persona o entidad. Se crea mediante el uso de cifrado asimtrico. Para comprobar la integridad de los datos, el emisor utiliza un algoritmo hash criptogrficos contra todo el mensaje para crear un resumen del mensaje que se enva junto con el mensaje. Tras la recepcin del mensaje, el receptor vuelve a calcular el hash utilizando el mismo algoritmo. La activacin de un plan de continuidad empresarial de la compaa debe basarse en criterios predeterminados que abordar: la duracin de la indisponibilidad. Nota: El inicio de un plan de continuidad empresarial (Accin) deberan basarse principalmente en el perodo mximo durante el cual una funcin empresarial puede ser interrumpido antes de la interrupcin pone en peligro el logro de los objetivos organizacionales. En el caso de un desastre en el centro de datos, cul de las siguientes sera la estrategia ms adecuada para permitir una recuperacin completa de una base de datos crtica? -replicacin en tiempo real a un sitio remoto Nota: Con replicacin en tiempo real a un sitio remoto, los datos se actualizan simultneamente en dos ubicaciones separadas; por lo tanto, un desastre en un sitio no perjudicara a la informacin que se encuentra en el sitio remoto. Esto supone que ambos sitios no fueron afectados por la misma catstrofe. Cul de las siguientes es la estrategia ms eficaz para la copia de seguridad de grandes cantidades de datos de misin crtica cuando los sistemas tienen que estar online para tomar los pedidos de ventas las 24 horas del da?-tolerante a errores implementando una solucin de backup disco a disco Nota: el backup de disco a disco, tambin llamado de disco a disco a cinta o cinta de cach, es cuando el primario se escriben en el disco de copia de seguridad en lugar de cinta. Ese respaldo puede ser copiado, clonado o migran a cinta en un momento posterior (de ah el trmino "disco a disco a cinta"). Esta tecnologa permite realizar la copia de seguridad de los datos se realiza sin afectar el rendimiento del sistema y permite una gran cantidad de datos para la copia de seguridad en una ventana de backup muy corto. En caso de fallo, el sistema tolerante a fallos puede transferir inmediatamente a otro conjunto de discos. Una autoridad de certificacin (CA) puede delegar los procesos de: establecer un vnculo entre la entidad solicitante y su clave pblica. Nota: el establecimiento de un vnculo entre la entidad solicitante y su clave pblica es una de las funciones de una autoridad de registro. Esto puede o no puede ser realizado por una entidad emisora de certificados; por lo tanto, esta funcin puede ser delegada. Cul de los siguientes objetivos se puede esperar encontrar en un plan estratgico de la organizacin?: convertirse en el proveedor preferido para el producto ofrecido. Nota: convertirse en el proveedor preferido para el producto es un objetivo estratgico empresarial, que tiene como objetivo centrar la orientacin global de la empresa y, por lo tanto, ser una parte del plan estratgico de la organizacin. Cul de los siguientes es el ms importante factor crtico de xito (CSF) de la aplicacin de un enfoque basado en el riesgo para el ciclo de vida del sistema? -una participacin adecuada de los interesados Nota: El ms importante factor crtico de xito (CSF) es la adecuada participacin y apoyo de los diferentes el aseguramiento de la calidad, privacidad, legal, auditora, asuntos regulatorios o equipos de cumplimiento en situaciones de alto riesgo regulatorio. Algunos cambios en el sistema podrn, sobre la base de calificaciones de riesgo, requieren la firma de los interesados clave antes de continuar. Que uno de los siguientes podra ser utilizado para proporcionar una adecuada garanta automatizada de archivos de datos estn siendo utilizados durante el procesamiento interno? -etiquetado, incluidos los registros de cabecera de archivo Nota: etiquetado internos, incluidos los registros de cabecera de archivo es correcto, porque puede dar garantas de que los datos correctos se utilizan archivos y permite la comprobacin automtica. Cul de los siguientes es el mejor control para implementar para mitigar el riesgo de un ataque desde el interior?-limitar el acceso de los individuos a las tareas requeridas por sus trabajos. Nota: El factor ms importante a considerar es limitar el acceso otorgado a individuos que nicamente las funciones necesarias para su trabajo. Los ataques internos pueden ser iniciados por los empleados, consultores y/o contratistas de una organizacin. Insider-riesgo relacionado es el riesgo ms difcil de defender contra porque insiders generalmente se han concedido algunas de acceso fsico y lgico a los sistemas, aplicaciones y redes. Acceso remoto a redes corporativas y datos tambin es comn, debido a la tecnologa, tales como las redes privadas virtuales (VPN) y los telfonos inteligentes, y representa una gran amenaza para los datos de la empresa. Hay una necesidad de poner en prctica controles fuertes y eficaces para mitigar este riesgo, el ms bsico de los cuales es limitar el acceso a lo que los usuarios necesitan para realizar sus trabajos. Cul de las siguientes opciones es la forma ms efectiva de control que deben aplicarse para garantizar la rendicin de cuentas de los usuarios de la aplicacin tienen acceso a informacin sensible en el sistema de gestin de recursos humanos (HRMS) y la interconexin entre aplicaciones para el HRMS seguimientos de auditora?
Nota: la captura de pistas de auditora que el usuario, a qu hora y fecha, junto
con otros detalles, ha llevado a cabo la transaccin y esto ayuda a establecer la rendicin de cuentas entre los usuarios de la aplicacin. Cul de los siguientes es el mejor control para mitigar el riesgo de ataques de pharming a una aplicacin de banca por Internet? -El sistema de nombres de dominio (DNS) para reforzar la seguridad del servidor Nota: El ataque de pharming redirige el trfico a un sitio web no autorizado por la explotacin de las vulnerabilidades del servidor DNS. Para evitar este tipo de ataque, es necesario eliminar cualquier vulnerabilidad conocida que podra permitir que el envenenamiento del DNS. Las versiones antiguas de software DNS son vulnerables a este tipo de ataque y debe ser corregido. El objetivo principal de una auditora forense: es la reunin y el anlisis sistemticos de pruebas despus de una anomala del sistema. Nota: La recoleccin sistemtica y anlisis de pruebas describe mejor una auditora forense. Las pruebas recogidas pueden ser analizados y utilizados en las actuaciones judiciales. Cul de los siguientes controles de la base de datos permitira asegurar que la integridad de las transacciones se mantiene en un sistema de procesamiento de transacciones en lnea la base de datos? -Compromiso y controles de reversin Nota: Compromiso y deshacer los controles son directamente pertinentes a la integridad. Estos controles garantizan que las operaciones de base de datos lgico que forman una unidad de transaccin ser completado enteramente o en absoluto; es decir, si, por algn motivo, una transaccin no puede ser completado, entonces incompleta inserciones, actualizaciones y eliminaciones se deshacen de forma que la base de datos vuelve a su estado pretransaction. Es un auditor es evaluar la gestin de la evaluacin de riesgos de los sistemas de informacin. El auditor deber revisar primero: a las amenazas y vulnerabilidades que afectan a los activos. Nota: Uno de los factores clave que deben considerarse al evaluar los riesgos de los sistemas de informacin es el valor de los sistemas (los activos) y las amenazas y vulnerabilidades que afectan a los activos. Los riesgos relacionados con el uso de los activos de informacin deben ser evaluados en forma aislada de los controles instalados. El uso de cifrado asimtrico de Internet en un sitio de comercio electrnico, donde hay una clave privada para el servidor y la clave pblica se distribuye ampliamente por los clientes, es ms probable para proporcionar comodidad al cliente: a travs de la autenticidad de la organizacin Nota: Cualquier sitio falso no ser capaz de cifrar con la clave privada del sitio real, por lo que el cliente podra no ser capaz de descifrar el mensaje con la clave pblica. Cul de los siguientes debe ser una preocupacin primordial del auditor es despus de descubrir que el alcance de un proyecto se ha cambiado y un estudio del impacto no ha sido efectuado? -el tiempo y las repercusiones en los costos causados por el cambio Nota: Cualquier cambio de alcance podra tener un impacto sobre la duracin y el costo del proyecto; sa es la razn por la que se lleva a cabo un estudio de impacto y el cliente es informado de los posibles efectos sobre la programacin y el costo. Cul de los siguientes sera un auditor se utiliza para determinar si se han realizado modificaciones no autorizadas para la produccin de las pruebas de cumplimiento de programas? Nota: determinar que slo autoriz modificaciones a programas de produccin requerira el proceso de gestin del cambio deben ser revisados para evaluar la existencia de un rastro de pruebas documentales. Pruebas de cumplimiento ayudara a comprobar que el proceso de gestin del cambio se ha aplicado sistemticamente. Una gran organizacin industrial est reemplazando a un obsoleto sistema heredado y evaluando la posibilidad de comprar una solucin personalizada o desarrollar un sistema in- house. Cul de las siguientes probablemente influir en la decisin? -habilidades y conocimientos tcnicos dentro de la organizacin relacionados con la obtencin y desarrollo de software Nota: Crtica de competencias bsicas tendrn ms probabilidades de ser considerado cuidadosamente antes de subcontratar la fase de planificacin de la aplicacin. Cul de las siguientes afirmaciones es vlida mientras la redaccin de un plan de continuidad del negocio (BCP)?-los costes del tiempo de inactividad aumentar con el tiempo. Nota: los costes del tiempo de inactividad, como la prdida de ventas, recursos ociosos, salarios-aumentar con el tiempo. Un plan de continuidad del negocio (BCP) debe estar preparado para lograr el menor costo posible tiempo de inactividad. El mayor beneficio de tener bien definidas las polticas y procedimientos de clasificacin de datos es: una reduccin del coste de los controles. Nota: Un beneficio importante de un proceso de clasificacin de datos definido sera bajar el costo de la proteccin de datos, asegurando que los controles adecuados se aplican con respecto a la sensibilidad de los datos. Sin un adecuado marco de clasificacin, algunos controles de seguridad puede ser mayor y, por tanto, ms costoso que es necesario en funcin de la clasificacin de los datos. Cul de los siguientes es el ms importante para asegurar la continuidad del negocio de datos de copia de seguridad? Nota: Los datos son la ms importante de todas las opciones que aparecen, y sin datos, un negocio no puede recuperarse. A la hora de auditar un firewall basado en proxy, es un auditor debe: - Compruebe que los filtros que se aplican a servicios tales como protocolo de transmisin de hipertexto (HTTP) son eficaces. Nota: un firewall basado en proxy funciona como un intermediario (proxy) entre la aplicacin o servicio y el cliente. Se realiza una conexin con el cliente y abre una conexin diferente con el servidor y, sobre la base de los filtros y reglas especficas, analiza todo el trfico entre las dos uniones. A diferencia de una pasarela de filtrado de paquetes, un firewall basado en proxy no reenviar los paquetes. La correlacin entre las direcciones IP y MAC es una tarea para protocolos como el protocolo de resolucin de direcciones (ARP)/Reverse Address Resolution Protocol (RARP). Durante una evaluacin de riesgo es una organizacin sanitaria sobre informacin sanitaria protegida (PHI), un auditor es entrevistas es la gestin. Cul de los siguientes hallazgos de las entrevistas sera de mayor preocupacin para el auditor es? -el personal tiene que escribir "[PHI]" en el campo Asunto de los mensajes de correo electrnico que se va a cifrar. Nota: Siempre habr riesgo de error humano que el personal olvida escribir ciertas palabras en el campo Asunto. La organizacin debera haber cifrado automtico configurado para correo saliente para los empleados que trabajan con informacin de salud protegida (PHI) para proteger la informacin confidencial. Cual de las siguientes opciones es un auditor considere la ms relevante para la planificacin a corto plazo para un departamento de TI? -la asignacin de recursos Nota: El departamento de TI debe considerar especficamente la manera en que se asignan los recursos en el corto plazo. El auditor es garantizar que los recursos se gestionen adecuadamente. Cul de las siguientes es ampliamente aceptada como uno de los componentes fundamentales de gestin de redes de gestin de la configuracin? Nota: La administracin de la configuracin es ampliamente aceptada como uno de los componentes clave de cualquier red porque establece cmo funcionar la red interna y externamente. Tambin se ocupa de la gestin de la configuracin y monitorizacin de rendimiento. Configuration Management garantiza que la configuracin y gestin de la red se realiza correctamente, incluyendo la gestin de cambios en la configuracin, extraccin de contraseas predeterminadas y, posiblemente, el endurecimiento de la red deshabilitando servicios innecesarios. Cul de los siguientes es el mejor mtodo para garantizar la confidencialidad de los datos en un comercial de business-to-business (B2B) aplicacin web? -Cifrar transacciones utilizando la clave pblica del destinatario Nota: las operaciones de cifrado con la clave pblica del destinatario proporcionar confidencialidad mediante criptografa asimtrica. El beneficiario se har entonces descifrar con una clave privada personal. Cul de los siguientes debe ser de mayor inters para un auditor est revisando el plan de continuidad empresarial (BCP) de una organizacin? -Un equipo de personal de seguridad de la informacin y realizado el anlisis de impacto en el negocio (BIA) Nota: Para ser eficaz, la BIA debe llevarse a cabo con el aporte de una amplia gama de partes interesadas. Los requisitos de negocio incluidas dentro de la BIA son integrales en definir el promedio de tiempo de reparacin y recuperacin de los datos en cuestin. Sin aportes empresariales, estos requisitos crticos no pueden ser correctamente definidos, conduciendo a los activos crticos menospreciadas. En una infraestructura de clave pblica (PKI), una autoridad de registro:-verifica la informacin suministrada por el sujeto que solicita un certificado Nota: Una autoridad de registro es responsable de verificar la informacin suministrada por el sujeto que solicita un certificado, y verifica que el solicitante tiene derecho a solicitar un certificado en nombre de ellos mismos o de su organizacin Las decisiones y las acciones de un auditor es muy probablemente afecten a cul de los siguientes tipos de deteccin de riesgos? Nota: riesgo de deteccin se ve afectada directamente por el auditor es la seleccin de procedimientos y tcnicas de auditora. Riesgo de deteccin es el riesgo de que un comentario no detectar ni notar una emisin de material. Cul de los siguientes controles seran ms eficaces para reducir el riesgo de prdida debido a las solicitudes de pago en lnea fraudulentas? -Transaction Monitoring Nota: Un sistema de pago electrnico podran ser el blanco de las actividades fraudulentas. Un usuario no autorizado podra entrar en transacciones falsas. Mediante la supervisin de las transacciones, el procesador de pagos podra identificar transacciones potencialmente fraudulentas basndose en los patrones de uso tpico, los importes monetarios, la ubicacin fsica de las compras, y otros datos que forman parte del proceso de transaccin. Un asesor de inversiones emails boletines peridicos a los clientes y quiere una garanta razonable de que nadie haya modificado el boletn. Este objetivo puede lograrse mediante: a cifrar el hash del boletn usando la clave privada del asesor Nota: No es la intencin del asesor de inversiones para mantener la confidencialidad de la newsletter. El objetivo es asegurar a los receptores que vino a ellos sin ninguna modificacin (es decir, dar a la integridad del mensaje). El hash se cifra mediante la clave privada del asesor. Los destinatarios pueden abrir el boletn, calcular su hash a travs de la newsletter con el mismo algoritmo, y descifrar el hash recibido utilizando la clave pblica del consejero. Si los dos valores son iguales, el boletn no fue modificado en trnsito. El mayor beneficio de la implementacin de un sistema experto: captura del conocimiento y de la experiencia de las personas de una organizacin. Nota: La base para un sistema experto es la captura y grabacin de los conocimientos y la experiencia de las personas de una organizacin. Esto permitir que otros usuarios puedan acceder a informacin que anteriormente ocupaban slo por expertos. Un auditor es la realizacin de una auditora de la seguridad fsica de una organizacin back office processing facility sera encontrar cul de las siguientes tcnicas ms eficaces para determinar que la informacin confidencial de la empresa est segura de ingeniera social? Nota: a menudo se ha dicho que las personas son el eslabn ms dbil de la cadena de seguridad y la ingeniera social es una tcnica utilizada para explotar las vulnerabilidades humanas para obtener informacin confidencial o sensible de la organizacin. Esta tcnica se puede utilizar para obtener acceso no autorizado a la organizacin instalaciones y manipular a la gente a divulgar informacin confidencial, como por ejemplo, un ingeniero social puede caminar en las instalaciones de la empresa, obtener documentos confidenciales o informacin dejada en las mesas de los empleados y las impresoras, e incluso plantear como un miembro del equipo de help desk para obtener contraseas de usuario. Proceso de asignacin de la propiedad es esencial para el proyecto de desarrollo de sistemas porque: asegura que el diseo del sistema se basa en las necesidades de la empresa. Nota: la participacin de los propietarios del proceso se asegurar de que el sistema ser diseado de acuerdo a las necesidades de los procesos de negocio que dependen de la funcionalidad del sistema. Un signo de fuerza en el diseo de los titulares del proceso es fundamental antes de que comienza el proceso de desarrollo. La mejor regla de filtros para proteger una red de ser utilizado como un amplificador en un ataque de denegacin de servicio (DoS): ataque es negar a todos:-el trfico saliente con direcciones IP de origen externo a la red. Nota: El trfico saliente con una direccin IP de origen distinto al rango IP interna de la red no es vlido. En la mayora de los casos, las seales de un ataque de denegacin de servicio (DoS): ataque originado por un usuario interno o por una mquina interna previamente comprometido; en ambos casos, la aplicacin de este filtro detendr el equipo infectado de participar en el ataque. Cul de las siguientes ayudarn a garantizar la portabilidad de una aplicacin conectada a una base de datos? -el uso de un lenguaje de consulta estructurado (SQL). Nota: El uso de lenguaje de consulta estructurado (SQL) facilita la portabilidad porque es un estndar usado por muchos sistemas. Un auditor se ha descubierto que un nuevo parche disponible para una aplicacin, pero el departamento de TI ha decidido que el parche no es necesario porque otros controles de seguridad estn en su lugar. Cul debe ser el auditor es recomendar? -evaluar el riesgo global y, a continuacin, decidir si desea implementar el parche
Nota: Aunque es importante para garantizar que los sistemas estn
correctamente parcheado, una evaluacin de los riesgos debe ser realizado para determinar la probabilidad y la probabilidad de la vulnerabilidad explotada. Por lo tanto, el parche se aplica slo si el riesgo de eludir los controles de seguridad existente es suficiente para justificarlo. Cual de las siguientes opciones describe mejor el cifrado y descifrado de datos utilizando un algoritmo de cifrado asimtrico? -utilice la clave privada del destinatario para descifrar datos cifrados con la clave pblica del destinatario. Nota: En el cifrado asimtrico, si el mensaje ha sido cifrado con la clave pblica del destinatario, slo se puede descifrar con la clave privada del destinatario. Una organizacin ha instalado recientemente una revisin de seguridad, que se estrell el servidor de produccin. Para minimizar la probabilidad de que esto ocurra de nuevo, es un auditor debe: -asegurar que un buen proceso de gestin del cambio est en su lugar. Nota: Es un auditor debe revisar el proceso de gestin de cambios, incluyendo los procedimientos de gestin de parches, y comprobar que el proceso tiene controles adecuados y hacer sugerencias en consecuencia. Un auditor se est revisando un nuevo orden basado en la web Sistema de entrada la semana antes de que empiece a funcionar. El auditor se ha identificado que la aplicacin, tal como est diseado, puede faltar varios controles crticos respecto de cmo el sistema almacena informacin de la tarjeta de crdito del cliente. El auditor debe primero: -Verificar que los requisitos de seguridad han sido debidamente especificado en el plan del proyecto. Nota: Si hay problemas de seguridad importantes identificados por un auditor, es la primera cuestin que se plantea es si los requisitos de seguridad eran correctas en el plan del proyecto. Dependiendo de si los requisitos fueron incluidas en el plan afectara a las recomendaciones del auditor. Un auditor se encuentra fuera de rango en algunas tablas de datos de una base de datos. Cul de los siguientes controles en caso de que el auditor es recomendado para evitar esta situacin? -Implementar restricciones de integridad en la base de datos Nota: la aplicacin de restricciones de integridad en la base de datos es un control preventivo, ya que los datos se cotejan con tablas predefinidas o reglas, evitando cualquier se introduzcan datos indefinido. Cul de las siguientes es la ms importante para un auditor es considerar al examinar un acuerdo de nivel de servicio (SLA) con un proveedor de servicios de TI externa? -garanta de disponibilidad Nota: El elemento ms importante de un SLA es la trminos mensurables de rendimiento, tales como acuerdos de tiempo de actividad. Durante una aplicacin de auditora, el auditor se encuentra varios problemas relacionados con datos corruptos en la base de datos. Cul de los siguientes es un control correctivo que el auditor debera recomendar? -Continuar con los procedimientos de restauracin Nota: Continuar con los procedimientos de restauracin es un control correctivo. Los procedimientos de restauracin pueden utilizarse para recuperar las bases de datos para su ltima conocida versin archivada. Cul de los siguientes problemas debe ser la mayor preocupacin para el auditor cuando est revisando una prueba de recuperacin ante desastres de TI? -durante la prueba, algunos de los sistemas de copia de seguridad defectuoso o no funciona, provocando la prueba de estos sistemas para fallar. Nota: El objetivo de este ensayo es poner a prueba el plan de copia de seguridad. Cuando los sistemas de copia de seguridad no estn trabajando entonces el plan no puede contarse en un verdadero desastre. Este es el problema ms grave. Cul de las siguientes afirmaciones mejor ayuda a asegurar que las desviaciones del plan del proyecto se identifican los criterios de rendimiento del proyecto? Nota: Para identificar las desviaciones del plan de proyecto, proyecto deben establecerse criterios de desempeo como referencia. La culminacin con xito del plan de proyecto es indicativo del xito del proyecto. El xito de la autoevaluacin del control (CSA) depende en gran medida de:-haber directivos asuman parte de la responsabilidad de la vigilancia del control. Nota: El objetivo principal de un programa de CSA es aprovechar la funcin de auditora interna desplazando algunas de las responsabilidades de supervisin de control para el rea funcional de los gerentes de lnea. El xito de un programa de CSA depende del grado en que los directivos asuman la responsabilidad de los controles. Esto permite a los gerentes de lnea para detectar y responder a los errores de control de inmediato. La estrategia de continuidad empresarial ptimo para una entidad est determinada por: suma de ms bajo costo de tiempo de inactividad y costes de recuperacin Nota: tanto los costos tienen que ser minimizadas, y la estrategia para que la suma de los costos es la ms baja es la estrategia ptima. En el proceso de evaluacin de los controles de cambio de programa, es un auditor utilizara el cdigo fuente del software de comparacin: a examinar cambios en el programa de origen sin informacin es personal. Nota: cuando un auditor, se usa una comparacin de cdigo fuente para examinar cambios en el programa de origen sin informacin es personal, el auditor tiene un objetivo, independiente y relativamente completa seguridad de modificaciones al programa porque el cdigo fuente comparacin identificar los cambios. Cul de las siguientes es una de las principales preocupaciones durante una revisin de actividades de help desk?-incidencias resueltas se cierran sin referencia a los usuarios. Nota: La funcin de help desk es un servicio orientado a la unidad. Los usuarios deben firmar antes de que un incidente puede considerarse cerrado. En una auditora basada en el riesgo, donde tanto los riesgos inherentes y de control se han evaluado como alto, un auditor es ms probable compensar esta situacin mediante la realizacin de pruebas sustantivas adicionales: Nota: Debido a que tanto los riesgos inherentes y de control son altos en este caso, sera necesario realizar pruebas adicionales. Pruebas sustantivas obtiene evidencia de auditora sobre la integridad, exactitud, o la existencia de actividades o transacciones durante el perodo de auditora. El fin ltimo de que la gobernabilidad es a: - fomentar un uso ptimo del mismo. Nota: Gobernanza de TI se destina a especificar la combinacin de derechos de toma de decisiones y la rendicin de cuentas que es lo mejor para la empresa. Es diferente para cada empresa. Una organizacin utiliza cifrado simtrico. Cul de las siguientes sera una razn vlida para desplazarse hacia el cifrado asimtrico? Cifrado simtrico: gestin de claves puede causar que sea difcil. Nota: En un algoritmo simtrico, cada par de usuarios necesita un nico par de claves para el nmero de teclas crece y gestin de claves puede ser abrumadora. Cul de las siguientes afirmaciones mejor apoya la priorizacin de nuevos proyectos de TI? -anlisis de la cartera de inversin Nota: es ms conveniente realizar un anlisis de la cartera de inversiones, que se presentan no slo un enfoque claro en la estrategia de inversin, sino que sentar las bases para la terminacin de los proyectos improductivos. Cules de las siguientes actividades realizadas por un administrador de base de datos (DBA) debera ser realizada por una persona diferente? -eliminacin de los registros de actividad de la base de datos Nota: Debido a que la actividad de la base de datos registra registrar las actividades realizadas por el DBA, eliminarlos debe ser realizado por una persona distinta del DBA. Este es un control de compensacin para ayudar a asegurar una adecuada segregacin de funciones est asociada con el papel del DBA. Durante una revisin de un subcontratado centro de operaciones de red (NOC), un auditor se concluye que los procedimientos para supervisar las actividades de administracin de red remota por la agencia subcontratada son insuficientes. Durante el debate en la direccin, el jefe de informacin (CIO) justifica esta cuestin como una actividad de help desk, cubiertos por procedimientos de ayuda, y seala que el sistema de deteccin de intrusiones (IDS) se activan los registros y las reglas de firewall estn supervisados. Cul es el mejor curso de accin para el auditor es tomar? -documentar el hallazgo identificados en el informe de auditora. Nota: Es la independencia del auditor dictara que la informacin adicional proporcionada por el auditado sern tomadas en consideracin. Normalmente, un auditor es no se retraen o revisar el hallazgo. Cul de los siguientes tipos de riesgo es ms probable encontradas en un Software como servicio (SaaS) entorno?-problemas de rendimiento debido al mtodo de prestacin de servicios de Internet. Nota: El riesgo de que pudiera ser ms probable encontradas en un entorno SaaS es la velocidad y disponibilidad, debido al hecho de que SaaS se basa en la Internet para la conectividad. La tcnica que sera mejor prueba de la existencia de un doble control cuando la auditora de los sistemas de transferencia del alambre de banco? -observacin Nota: Dual control requiere que dos personas llevan a cabo una operacin. La tcnica de observacin que servira para determinar si dos individuos involucrarse efectivamente en la ejecucin de la operacin y un elemento de supervisin. Tambin sera obvio si un individuo es enmscarado y rellenar el papel de la segunda persona. La OMS debe revisar y aprobar las entregas del sistema tal y como estn definidas y realizado para garantizar el xito de la finalizacin y puesta en prctica de un nuevo sistema de gestin de usuarios de la aplicacin? Nota: administracin de usuarios asume la propiedad del proyecto y sistemas resultantes, asigna representantes cualificados para el equipo, y participa activamente en la definicin de los requisitos del sistema, pruebas de aceptacin, y la formacin de usuarios. Administracin de usuarios del sistema debe revisar y aprobar entregas ya estn definidas y realizado o ejecutado. Despus de revisar el plan de recuperacin de desastres (DRP) proceso de una organizacin, un auditor se solicita una reunin con la gerencia de la empresa para discutir los hallazgos. Cul de las siguientes opciones describe mejor el objetivo principal de este encuentro? -confirmando la exactitud objetiva de los resultados.
Nota: El objetivo de la reunin es para confirmar la exactitud de los resultados de
la auditora, y presentan una oportunidad para la administracin para acordar o responder a las recomendaciones de medidas correctivas. Cul de los siguientes controles preventivos mejor ayuda a asegurar una aplicacin web Developer Training? Nota: las opciones dadas, enseando a los desarrolladores escribir cdigo seguro es la mejor manera de asegurar una aplicacin web. Cul es la mejor forma de comprobar que una firma digital es vlida?. Compruebe que el certificado de la clave pblica del remitente es de una autoridad de certificacin (CA) Nota: Las firmas digitales estn habilitados mediante la clave privada del remitente. La CA se une la identidad de la clave pblica con la clave privada del remitente para permitir la identificacin del remitente. Valida las firmas digitales en una aplicacin de software de correo electrnico: ayuda a detectar spam. Nota: validar las firmas electrnicas basadas en certificados reconocidos que son creados por una entidad emisora de certificados (CA), con las normas tcnicas requeridas para asegurarse de que la llave no puede ser forzado ni reproducirse en un tiempo razonable. Dichos certificados slo se entregan a travs de una autoridad de registro (RA) despus de una prueba de identidad ha sido aprobada. Utilizando firmas fuerte en el trfico de correo electrnico, no rechazo puede ser garantizada y un remitente puede ser rastreados. El destinatario puede configurar su servidor de correo electrnico del cliente para eliminar automticamente los correos electrnicos de remitentes especficos. Un auditor se est revisando un proceso de gestin de contratos para determinar la viabilidad financiera de un proveedor de software para una aplicacin empresarial crtica. Es un auditor debe determinar si el proveedor est considerado: puede apoyar a la organizacin en el largo plazo. Nota: la viabilidad financiera a largo plazo de un proveedor es esencial para obtener el mximo valor para la organizacin, es ms probable que un proveedor financieramente slido estara en el negocio por un largo perodo de tiempo y, por tanto, ms propensos a ser capaz de proporcionar apoyo a largo plazo para el producto adquirido.