UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

(Universidad del Perú, Decana de América)

Año de la lucha contra la corrupción e impunidad
FACULTAD DE CIENCIAS CONTABLES

TEMA: Desarrollo de Cuestionarios CISA

CURSO : Auditoría de Sistemas de Información

PROFESOR : Dr. Orna Barillas, Jesús

AULA : 310-N

INTEGRANTES :
- Berrocal Pareja, Jessica
- Cabrera Saccaco, Arturo
- Domansich Guzmán, Yanina
- Tapia Vilchez, Maribel
- Zapaille Ruiz, Irina
- Mendoza Felipe, John

2019
Contenido

1.9.3 CASO DE ESTUDIO C ............................................................................................... 3

PREGUNTAS DE AUTOEVALUACIÓN ............................................................................... 5

2.14.3 CASO DE ESTUDIO C ............................................................................................. 9

2.14.4 CASO DE ESTUDIO D ........................................................................................... 10

REFERENCIAS BIBLIOGRÁFICAS ................................................................................... 12

2
 MANUAL DE PREPARACIÓN PARA EL EXÁMEN CISA
1.9.3 CASO DE ESTUDIO C

Un auditor de SI ha sido designado para llevar a cabo auditorías de SI en una entidad

por un periodo de dos años. Después de aceptar la designación, el auditor de SI notó
que:

 La entidad tiene un estatuto de auditoria que detalla, entre otras cosas, el

alcance y las responsabilidades de la función de auditoría de SI y especifica
al comité de auditoría como el organismo de supervisión para la actividad de
auditoria.
 La entidad está planificando un aumento importante en la inversión de TI,
principalmente a cuenta de la implementación de una nueva aplicación de
ERP, integrando los procesos del negocio en todas las unidades dispersas
geográficamente.
 La implementación de ERP se espera que esté en operación dentro de los
próximos 90 días. Los servidores que soportan las aplicaciones del negocio
están alojados fuera de las instalaciones por un tercero proveedor de servicios.
 La entidad tiene un nuevo colaborador como Director de Seguridad de
Información (CISO), quien le reposta al Director de Finanzas (CFO).
 La entidad está sujeta a requerimientos regulatorios de cumplimiento que
obligan a su gerencia a certificar la eficacia del sistema de control interno
cuando éste se relaciona con el reporte financiero.
 La entidad ha estado registrando crecimiento al doble del promedio de la
industria consistentemente por los últimos dos años. Sin embargo, la entidad
ha visto también aumentada su rotación de empleados

PREGUNTAS DEL CASO DE ESTUDIO C

C1. La PRIMERA prioridad del auditor de SI en el Año 1 debe ser estudiar:

A. los informes de auditorías de SI anteriores y planificar el cronograma de

auditoría.
B. auditar el estatuto y planificar el cronograma de auditoría.
C. el impacto del nuevo colaborador como CISO.
D. el impacto de la implementación del nuevo ERP en el ambiente de Ti y
planificar el cronograma de auditoría
3
Respuesta: Alternativa D

Sustento: Debido a la importancia del hecho de “aumento importante en la inversión

de TI” … (según COBIT)

C2. ¿Cómo debe el auditor de SI evaluar el respaldo y el procesamiento de lotes

dentro de las operaciones de computadora?

A. Planificar y llevar a cabo una revisión independiente de las operaciones de

computadora
B. Basarse en el informe del auditor de servido del proveedor de servicio
C. Estudiar el contrato entre la entidad y el proveedor de servicio
D. Comparar el informe de entrega del servicio con el contrato de nivel de servicio

Respuesta: Alternativa C

Sustento: Debido a que debe conocer los parámetros acordados entre el proveedor
y la entidad… (según COBIT)

4
PREGUNTAS DE AUTOEVALUACIÓN

2-1 Para que la gerencia pueda monitorear de forma efectiva el cumplimiento

de los procesos y las aplicaciones, ¿cuál de las siguientes opciones sería la
MÁS adecuada?

A. Un repositorio de documentos central

B. Un sistema de gestión de conocimientos.
C. Un Tablero de mandos
D. Benchmarking

Respuesta:

Sustento: Debido a que debe … (según COBIT)

2-2 ¿Cuál de los siguientes elementos estaría incluido en un plan estratégico

de SI?

A. Especificaciones para compras planeadas de hardware.

B. Análisis de los objetivos futuros del negocio.
C. Fechas objetivo para los proyectos de desarrollo.
D. Objetivos anuales de presupuesto para el departamento de TI.

Respuesta:

Sustento: Debido a que debe … (según COBIT)

2-3 ¿Cuál de los enunciados siguientes describe MEJOR el proceso de

planificación estratégica de un departamento de TI?

A. El departamento de TI tendrá planes a corto plazo o a largo plazo

dependiendo de los planes y objetivos más amplios de la organización.
B. El plan estratégico del departamento de TI debe estar orientado al tiempo y al
proyecto, pero no tan detallado como para tratar y ayudar en la determinación
5

de las prioridades para satisfacer las necesidades de negocio.

 C. La planificación de largo alcance para el departamento de TI debe reconocer
las metas organizacionales, los adelantos tecnológicos y los requerimientos
regulatorios.
D. La planificación de corto alcance para el departamento de TI no necesita estar
integrada en los planes de corto alcance de la organización, ya que los
adelantos tecnológicos impulsarán los planes del departamento de TI mucho
más rápido que los planes organizacionales.

Respuesta:

Sustento: Debido a que debe … (según COBIT)

2-4 ¿La responsabilidad MÁS importante de un oficial de seguridad en una

organización es:

A. recomendar y monitorear las políticas de seguridad de los datos.

B. promover la conciencia sobre la seguridad dentro de la organización.
C. establecer procedimientos para las políticas de seguridad de TI.
D. administrar los controles de acceso físico y lógico.

Respuesta A. Algunas amenazas entran por la puerta principal cuando los

empleados comienzan sus días de trabajo mientras otras provienen de competidores
que buscan obtener una ventaja, interrumpir las operaciones de la compañía, o a
través de redes de cibercriminales en países distantes. En ese sentido, los
Responsables de Seguridad de la Información (Chief Information Security Officer,
CISO por sus siglas en inglés) están a cargo de la detección y análisis de los puntos
débiles de la compañía en materia de ciberseguridad y protección informática
teniendo como principal responsabilidad el desarrollo, ejecución y monitoreo de las
estrategias de seguridad de la información.

2-5 ¿Cuál de los siguientes elementos se considera MÁS crítico para una
implementación satisfactoria de un programa de seguridad de la información?

A. Un marco de gestión de riesgos empresarial. (ERM) efectivo

B. Compromiso de la alta dirección
6

C. Un proceso de creación de presupuestos adecuado

 D. Una planificación meticulosa de programas

Respuesta B. Como señala la ISO 27001: La alta dirección de la entidad debe

comprometerse con la implementación, establecimiento, operación, monitorización,
mantenimiento, revisión y mejora del Sistema de Gestión de Seguridad de la
Información. Asegurando que se establezcan la política de la seguridad de la
información y los objetivos de la seguridad de la información, y que estos sean
compatibles con la dirección estratégica de la empresa y asegurando la integración
de los requisitos del Sistema de Gestión de Seguridad de la Información en los
procesos de la empresa.

2-6 Un auditor de SI debe asegurar que las medidas de desempeño del

gobierno de TI:

A. evalúen las actividades de los comités de supervisión de TI

B. provean impulsadores estratégicos de TI
C. acaten los estándares y definiciones de reporte regulatorio
D. evalúen el departamento de TI

Respuesta A. El comité de supervisión de TI tiene entre sus funciones: realizar un

diagnóstico del estado de las TI de la empresa, revisar inversiones y gastos
significativos en tecnología, recibir informes de las gerencias sobres las operaciones
tecnológicas, entre otros. Debido a la información que manejan, la evaluación de sus
actividades debería ser un punto fundamental a considerar en las métricas de
desempeño.

2-7 ¿Cuál de las siguientes tareas pueden ser ejecutadas por la misma persona
en un centro informático de procesamiento de información bien controlado?

A. Administración de seguridad y gestión de cambios.

B. Operaciones informáticas y desarrollo de sistemas.
C. Desarrollo de sistemas y gestión de cambios.
D. Desarrollo del sistema y mantenimiento del sistema.

Respuesta D. El mantenimiento de software es una actividad muy amplia que incluye

la corrección de errores, mejoras de las capacidades, eliminación de funciones
obsoletas y optimización. Debido a que el cambio es inevitable, se debe desarrollar
mecanismos para evaluar, controlar y hacer modificaciones. Bajo ese concepto, la
7

persona encargada del desarrollo del sistema podría también ejecutar el

mantenimiento ya que posee un mayor conocimiento de la arquitectura del sistema
y no existiría conflicto entre sus funciones.

2-8 ¿Cuál de los siguientes es el control MÁS crítico sobre la administración

de una base datos (DBA)?

A. Aprobación de las actividades de DBA.

B. Segregación de funciones (SoD) en lo que respecta a otorgar/revocar el
derecho de acceso.
C. Revisión de registros de acceso y actividades.
D. Revisión del uso de las herramientas de la base de datos.

Respuesta B. La Segregación de funciones se refiere al análisis de determinadas

actividades que deben encontrarse separadas de otras, dado el riesgo que implica
que una misma persona las concentre. En el ámbito de la administración de base de
datos, los Oficiales de Seguridad son los responsables de asignar y monitorear los
permisos de acceso a los datos, esto garantiza que cada función tiene los privilegios
que necesita y que usuarios privilegiados no abusan de sus privilegios.

2-9 Cuando una segregación de funciones (SoD) completa no puede lograrse

en un entorno de sistema en línea, ¿cuál de las siguientes funciones debe ser
separada de las demás?

A. Originación
B. Autorización
C. Registro
D. Corrección

Respuesta B. Cuando el personal realiza actividades no concernientes en un primer

momento a sus funciones originales es necesario que existan aprobaciones y
autorizaciones para pruebas, cambios o modificaciones en los datos ingresados.
Cuando se da la situación descrita en la parte superior, es necesario que las
aprobaciones se realicen de forma separada con el fin de evitar duplicaciones de
información.
8
2.14.3 CASO DE ESTUDIO C

Se pidió a un auditor de SI revisar la alineación entre las metas de la TI y del negocio

en una institución financiera pequeña. El auditor de SI solicitó diversas informaciones,
incluidos los objetivos y las metas del negocio y los objetivos y las metas de TI. El
auditor de SI encontró que las metas y los objetivos del negocio se limitaban a una
pequeña lista con viñetas, mientras que las metas y los objetivos de la TI se limitaban
a diapositivas utilizadas en reuniones con el CIO (el CIO presenta los reportes al
CFO). También se encontró en la información proporcionada que durante los últimos
dos años, el comité de gestión de riesgos (conformado por la alta dirección) sólo se
reunió en tres oportunidades y no se levantó acta de lo que se discutió en esas
reuniones. Cuando se comparó el presupuesto de la TI para el siguiente año con los
planes estratégicos para la TI, se evidenció que muchas de las iniciativas
mencionadas en los planes para el año siguiente no se incluyeron en el presupuesto
de ese año.

PREGUNTAS DEL CASO DE ESTUDIO C (2 preg.)

C1. ¿Cuál de los siguientes aspectos sería de MAYOR preocupación para el

auditor de SI?

A. Los documentos de estrategias son informales y están incompletos

B. El comité de gestión de riesgos rara vez se reúne y no levanta actas
C. Los presupuestos no parecen ser adecuados para respaldar las futuras
inversiones en TI.
D. El CIO entrega reportes al CFO.

Respuesta Alternativa A:

C2. ¿Cuál de los siguientes problemas sería MÁS importante tratar?

A. La cultura prevalente dentro de TI

E. La carencia de políticas y procedimientos para la tecnología de la
información.
B. Las prácticas de la gestión de riesgos en comparación con organizaciones
similares.
C. La estructura jerárquica para TI.
9
Respuesta Alternativa C: Es conforme a las tareas del dominio de gobierno de TI
que se explica en el Manual de Certified InformationSystems Auditor (CISA):

T2.4. Evaluar las políticas, los estándares y los procedimientos de TI de la

organización […]

Sus conocimientos relacionados son sobre las leyes, regulaciones y estándares que
afecten a la organización.

2.14.4 CASO DE ESTUDIO D

Un auditor de SI está auditando las prácticas de gobierno de TI de una organización.

Durante el curso del trabajo, se observa que la organización no tiene un CIO de
tiempo completo. El organigrama de la entidad hace posible que un gerente de SI
presente informes al CFO, quien a su vez entrega informes al consejo de dirección.
El Consejo de Dirección juega un rol importante en el monitoreo de las iniciativas de
TI y el CEO comunica con frecuencia el progreso de estas iniciativas. A partir de la
revisión de la matriz de SoD, es evidente que sólo se exija a los programadores de
aplicaciones obtener la aprobación del DBA para acceder directamente a los datos
de la producción. También se observa que los programadores de aplicaciones tienen
que proporcionar el código de programación desarrollado al bibliotecario de
programas, quien luego se encarga de migrarlo a producción. Las auditorias de SI
son responsabilidad del departamento de auditoría interna, que entrega reportes al
CEO al final de cada mes como parte del proceso de revisión del desempeño del
negocio; los resultados financieros de la entidad se revisan exhaustivamente para
que luego los gerentes de negocio confirmen que los datos sean correctos.

PREGUNTAS DEL CASO DE ESTUDIO D (3 preg.)

D1. Dadas las circunstancias descritas, ¿cuál sería la MAYOR preocupación

desde la perspectiva de gobierno de TI?

A. La organización no tiene un CIO de tiempo completo.

B. La organización no tiene un comité de dirección de TI.
C. El consejo de la organización juega un rol fundamental en el monitoreo de las
iniciativas de 11.
D. El gerente de los sistemas de información entrega reportes al CFO.
10

Respuesta Alternativa C:
D2. Dado el caso, ¿cuál sería la MAYOR preocupación desde una perspectiva
de segregación de funciones?

A. Se exige a los programadores de aplicaciones contar con la aprobación

solamente del DBA para obtener acceso directo de escritura a los datos.
B. Se exige a los programadores de aplicaciones entregar el código de
programación desarrollado al bibliotecario de programas para su migración a
producción.
C. El departamento de auditoría interna reporta al CFO.
D. Se requiere que sólo los gerentes del negocio aprueben las revisiones del
desempeño del negocio.

Respuesta: Alternativa C

Sustento: Debido a que debe … (según COBIT)

D3. ¿Cuál de las siguientes situaciones trataría de MEJOR manera la

integridad de los datos desde una perspectiva de controles de mitigación?

A. Se exige a los programadores de aplicaciones la probación del DEA para

obtener acceso directo a los datos.
B. Se exige a los programadores de aplicaciones entregar los códigos de
programación desarrollados al bibliotecario de programas para que los
transfiera a producción.
C. El departamento de auditoría interna reporta al CFO.
D. Se requieren los resultados del desempeño del negocio para su revisión y
aprobación por parte de los gerentes del negocio.

Respuesta: Alternativa C

Sustento: Debido a que debe … (según COBIT)

11
REFERENCIAS BIBLIOGRÁFICAS

 PowerData (s.f.) Seguridad de datos: En qué consiste y qué es importante en

tu empresa. Recuperado de: https://www.powerdata.es/seguridad-de-datos
 Revista Cloud Computing (2017) CISO, El Profesional De La Seguridad De La
Información Es Un Perfil Cada Vez Más Demando Por Las Empresas.
Recuperado de: https://www.revistacloudcomputing.com/2017/05/ciso-el-
profesional-de-la-seguridad-de-la-informacion-es-un-perfil-cada-vez-mas-
demando-por-las-empresas/
 Puchi, G. (s.f.) CISA capítulo 2. Recuperado de
https://es.scribd.com/document/397927157/Capitulo-2-de-Cisa

12