Q.

1) Para soportar las metas de una organización, el departamento de SI debe tener:

A. una filosofía de bajo costo

B. planes de largo y corto plazo. (Correct Answer)
C. tecnología de punta.
D. planes para adquirir nuevo hardware y software

Unanswered
Q.2) Un comité de seguimiento de TI revisaría los sistemas de información PRIMERAMENTE para determinar:

A. si los procesos de TI soportan los requerimientos del negocio (Correct Answer)

B.
si la funcionalidad del sistema que se propuso es adecuada
C. la estabilidad del software eixstente
D. la complejidad de la tecnología instalada

Unanswered

Q.3) Desde una perspectiva de control, el elemento clave en las descripciones de trabajos es que:

A. proveer instrucciones sobre cómo hacer el trabajo y definen autoridad

B. son actuales, documentados y el empleado puede disponer de ellos fácilmente.
C. comunican las expectativas específicas de desempeño/performancia del trabajo que tiene la gerencia.
D. establecen responsabilidad y deber de reportar/imputabilidad (accountability) por las acciones del empleado. (Correct
Answer)

Unanswered
Q.4) El efecto MÁS probable de la falta de participación de la alta gerencia en la planeación estratégica de TI es:

A.
falta de inversión en tecnología.
B.
falta de una metodología para el desarrollo de sistemas.
C.
que la tecnología no estará a la altura de los objetivos de la organización. (Correct Answer)
D.
ausencia de control de los contratos de tecnología.

Unanswered

Q.5) ¿Cuál de lo siguiente proveería MEJOR garantía de la integridad del nuevo personal?

A. Investigación de los antecedentes. (Correct Answer)

B. Referencias
C. Fianza
D. Calificaciones enumeradas en un curriculum vitae/una hoja de vida.

Unanswered
Q.6) ¿Cuál de los siguientes es el MAYOR riesgo de la definición de una política inadecuada para propiedad de datos y
de sistemas?

A.
No existe coordinación de la gerencia de usuarios.
B. No se puede establecer la imputabilidad de accountability) específica del usuario.
C.
Usuarios no autorizados pueden tener acceso para originar, modificar o eliminar datos. (Correct Answer)
D.
Es posible que las recomendaciones de auditoría no estén implementadas.
Unanswered

Q.7) El objetivo PRIMARIO de una auditoría de las políticas de seguridad de TI es asegurar que:

A. sean distribuidas y estén disponibles para todo el personal.

B. las políticas de seguridad y control soporten los objetivos del negocio y de TI. (Correct Answer)
C. haya un organigrama publicado con descripciones de las funciones.
D. las funciones estén separadas de manera apropiada.

Unanswered
Q.8) Los objetivos de control de TI son útiles para los auditores de SI, ya que ellos proveen la base para entender:

A. el resultado deseado o el propósito de implementar procedimientos específicos de control. (Correct Answer)

B. las mejores prácticas de control de seguridad de TI relevantes para una entidad específica.
C. las técnicas para asegurar la información.
D. la política de seguridad.

Unanswered

Q.9) Al revisar el plan de corto plazo (táctico) de SI, el auditor de SI debe determinar si:

A. hay una integración de SI y de los personales de negocios dentro de los proyectos. (Correct Answer)
B. hay una definición clara de la misión y visión de SI.
C. hay instalada una metodología de planeación estratégica de la tecnología de la información.
D. el plan correlaciona objetivos de negocio con las metas y objetivos de SI.

Unanswered
Q.10) ¿Cuál de los siguientes sería un control compensatorio para mitigar los riesgos resultantes de una segregación
inadecuada de funciones?

A. Verificación de secuencia
B. Verificación de dígitos
C. Retención de documentación fuente
D.
Reconciliaciones de control de lote. (Correct Answer)

Unanswered

Q.11) ¿Cuál de los siguientes es una función de un comité de dirección de SI?

A. Monitorear el control y la prueba de cambio controlado de vendedor.

B. Asegurar una separación de funciones dentro del entorno de procesamiento de información.
C. Aprobar y monitorear los principales proyectos, la situación de los planes y presupuestos de SI (Correct Answer)
D. Responsable del enlace entre el departamento de SI y los usuarios finales.

Unanswered
Q.12) La velocidad de cambio de la tecnología aumenta la importancia de:

A. hacer un outsourcing de la función de SI.

B. implementar y ejecutar buenos procesos. (Correct Answer)
C. contratar personal dispuesto a hacer una carrera dentro de la organización.
 D.
satisfacer los requerimientos de los usuarios.

Unanswered

Q.13) Una organización que adquiere otros negocios continúa sus sistemas heredados de EDI, y usa tres proveedores
separados de red de valor agregado (VAN). No existe ningún acuerdo escrito de VAN. El auditor de SI debe
recomendar a la gerencia que:

A. obtenga garantía independiente de los proveedores de servicio )third party service profiders)
B. Establezca un proceso para monitorear la entrega de servicios del proveedor (third party).
C. asegure que existan contratos formales. (Correct Answer)
D.
considere acuerdos con proveedores de servicio (third party service providers) en el desarrollo del plan de continuidad.

Unanswered
Q.14) ¿Cuál de los siguientes reportes debe utilizar un auditor para verificar el cumplimiento de un requerimiento de
acuerdo de nivel de servicio (SLA) para tiempo productivo?

A.
Reportes de utilización
B. Reportes de error de hardware
C. Bitácoras de sistema
D. Reportes de disponibilidad. (Correct Answer)

Unanswered

Q.15) La implementación de controles eficientes en costos en un sistema automatizado es en última instancia

responsabilidad de:

A. el administrador del sistema

B. la función de aseguramiento de calidad.
C. la gerencia de unidad de negocio (Correct Answer)
D.
el jefe de auditoría interna

Unanswered
Q.16) Un auditor de SI encuentra que no todos los empleados tienen conocimiento de la política de seguridad de
información de la empresa. El auditor de SI debe concluir que:

A. Esta falta de conocimiento puede conducir a una revelación no intencional de información sensitiva. (Correct Answer)
B. La seguridad de información no es crítica para todas las funciones.
C. La auditoría de SI provee capacitación de seguridad a los empleados.
D. El hallazgo de auditoría causaría que la gerencia provea una capacitación continua al personal.

Unanswered

Q.17) Un auditor de SI revisa un organigrama PRIMARIAMENTE para:

A.
entender los flujos de trabajo.
B.
investigar diversos canales de comunicación.
C.
entender las responsabilidades y la autoridad de las personas. (Correct Answer)
D.
investigar la red conectada con diferentes empleados.

Unanswered
Q.18) ¿Cuál de las siguientes funciones debe ser realizada por los dueños de aplicación para asegurar una segregación
adecuada de tareas entre SI y los usuarios finales?
 A.
Análisis de sistemas
B.
Autorización para tener acceso a los datos. (Correct Answer)
C.
Programación de aplicaciones.
D.
Administración de datos.

Unanswered

Q.19) Cuando un empleado es despedido de un servicio, la acción MÁS importante es:

A. la entrega de todos los archivos del empleado a otro empleado designado.

B. sacar una copia de respaldo del trabajo del empleado.
C. notificar a otros empleados sobre la terminación.
D. inhabilitar el acceso lógico del empleado. (Correct Answer)

Unanswered
Q.20) ¿Qué es lo que un auditor de sistemas consideraría MÁS relevante para la planificación de corto plazo para el
departamento de IS?

A.
Asignar recursos (Correct Answer)
B.
Mantenerse al corriente con los adelantos de la tecnología
C.
Llevar a cabo auto evaluaciones de control
D.
Evaluar las necesidades de hardware

Unanswered

Q.21) ¿Cuál de las metas siguientes esperaría usted encontrar en el plan estratégico de una organización?

A. Probar un nuevo paquete de contabilidad

B. Realizar una evaluación de las necesidades de tecnología de información.
C. Implementar un nuevo sistema de planeación de proyectos dentro de los próximos 12 meses
D. Convertirse en el proveedor de elección del producto ofrecido. (Correct Answer)

Unanswered
Q.22) El paso inicial para establecer un programa de seguridad de información es:

A.
el desarrollo e implementación de un manual de normas de seguridad de información.
B.
la realización de una revisión comprensiva de control de seguridad por el auditor de SI
C.
la adopción de una declaración corporativa de política de seguridad de información. (Correct Answer)
D. la compra de software de control de seguridad de acceso.

Unanswered

Q.23) ¿Cuál de los siguientes se encontraría normalmente en los manuales ejecución de aplicaciones?

A. Detalles de documentos fuente

B. Códigos de error y sus acciones de recuperación. (Correct Answer)
C. Diagramas de flujo de programa y definiciones de archivos
D. Registros de cambio para el código fuente de aplicación.

Unanswered
Q.24) De las funciones siguientes, ¿Cuál es la función MÁS importante que debe realizar la administración de TI cuando
se ha dado un servicio para realizarse por outsourcing?

A. Asegurar que las facturas sean pagadas al proveedor

B. Participar con el proveedor en los diseños de sistemas
C. Renegociar los honorarios del proveedor
D. Monitorear el desempeño del proveedor de outsourcing (Correct Answer)

Unanswered

Q.25) ¿Cuál de las siguientes funciones sería una preocupación si se efectuara junto con administración de sistemas?

A.
Mantenimiento de reglas de acceso
B.
Revisión de pistas de auditoría del sistema (Correct Answer)
C. Bibliotecario de datos
D.
Monitoreo de desempeño

Unanswered
Q.26) La función de establecimiento del libro mayor/mayor general (general ledger) es un paquete empresarial (ERP)
permite fijar período contables. El acceso a esta función ha sido permitido a los usuarios en finanzas, almacén e
ingreso de órdenes. La razón MÁS probable para dicho amplio acceso es:

A. la necesidad de cambiar los períodos contables periódicamente.

B. el requerimiento del registro las entradas por un período contable cerrado
C. la falta de políticas y procedimientos para la debida segregación de funciones. (Correct Answer)
D. la necesidad de crear/modificar el cuadro de cuentas y sus asignaciones.

Unanswered

Q.27) ¿Cuál de los siguientes procedimientos detectaría en forma MÁS efectiva la carga de paquetes de software
ilegal a una red?

A.
El uso de estaciones de trabajo sin disco.
B.
La verificación periódica de los discos duros. (Correct Answer)
C.
El uso de software antivirus actualizado
D.
Las políticas que tienen como consecuencia el despido instantáneo si fueran violadas.

Unanswered
Q.28) Cuando se ha diseñado una política de seguridad de información, lo MÁS importante es que la política de seguridad
de información sea:

A. almacenada fuera del sitio.

B. escrita por la gerencia de SI.
C. circulada a los usuarios. (Correct Answer)
D. actualizada con frecuencia.

Unanswered

Q.29) La responsabilidad de rendir cuentas del mantenimiento de medidas de seguridad apropiadas sobre los activos
de información reside en:

A. el administrador de seguridad
B. el administrador de sistemas.
 C.
los propietarios de datos y de sistemas (Correct Answer)
D.
el grupo de operaciones de sistemas.

Unanswered
Q.30) Un auditor de SI que realiza una revisión del departamento de SI descubre que no existen procedimientos formales
de aprobación. En ausencia de estos procedimientos, el gerente de SI ha estado aprobando arbitrariamente
proyectos a los niveles superiores de la gerencia para su aprobación. El auditor de SI debería recomendar como un
PRIMER curso de acción que:

A. los usuarios participen en la revisión y en el proceso de aprobación.

B. se adopten y documenten procedimientos formales de aprobación (Correct Answer)
C. los proyectos sean referidos a los niveles apropiados de la gerencia para su aprobación.
D. la descripción del puesto de trabajo del gerente de SI sea cambiada para que incluya la autoridad de aprobación.

Unanswered

Q.31) La responsabilidad y las líneas de reporte no pueden siempre ser establecidos cuando se auditan sistemas
automatizados ya que:

A. el control diversificado hace irrelevante a la propiedad.

B. el personal tradicionalmente cambia de puestos de trabajo con mayor frecuencia.
C. la propiedad es difícil de establecer cuando los recursos son compartidos. (Correct Answer)
D. las funciones cambian con frecuencia en el rápido desarrollo de la tecnología.

Unanswered
Q.32) ¿Cuál de los siguientes consideraría un auditor de SI que es MÁS importante cuando se evalúan la estrategia de
una organización? Que:

A. haya sido aprobada por la gerencia de línea.

B. no varié del presupuesto preliminar del departamento de SI
C. cumpla con los procedimientos de procuración.
D. soporte los objetivos del negocio de la organización. (Correct Answer)

Unanswered

Q.33) Un administrador de datos es responsable de:

A. mantener el software de sistemas de base de datos.

B. definir los elementos de datos, los nombre de datos y su relación. (Correct Answer)
C. desarrollar estructuras físicas de bases de datos
D. desarrollar software de sistemas de diccionario de datos.

Unanswered
Q.34) El desarrollo de una política de seguridad de SI es responsabilidad de:

A. el departamento de SI
B. el comité de seguridad
C. el administrador de la seguridad
D. la junta directiva (Correct Answer)

Unanswered

Q.35) ¿Cuál de los siguientes programas es MÁS probable que una política sana de seguridad de información incluiría
 para manejar las intrusiones sospechosas?

A.
Respuesta (Correct Answer)
B.
Corrección
C. Detección
D.
Monitoreo

Unanswered
Q.36) ¿Cuál de lo siguiente proveería un mecanismo por el cual la gerencia de SI puede determinar cuándo, y si, las
actividades de la empresa se han desviado de los niveles planeados, o de los esperados?

A. Gerencia de calidad
B. Métodos de análisis de SI (Correct Answer)
C. Principios de gerencia
D. Estándares /puntos de referencia de la industria (benchmarking)

Unanswered

Q.37) ¿Cuál de las siguientes situaciones aumentaría la probabilidad de fraude?

A.
Los programadores de aplicaciones están implementado cambios a los programas de producción. (Correct Answer)
B.
Los programas de aplicaciones están implementado cambios a los programas de prueba
C.
El personal de soporte de operaciones está implementado cambios a los cronogramas de lotes
D.
Los administradores de base de datos están implementando cambios a las estructuras de datos.

Unanswered
Q.38) Un auditor de SI ha descubierto recientemente que debido a la escasez de personal capacitado de operaciones, el
administrador de seguridad ha aceptado trabajar un turno nocturno por mes como primer operador de computadora.
El curso de acción MÁS apropiado para el auditor de SI es:

A. advertir a la alta gerencia sobre el riesgo que esto implica (Correct Answer)
B. acordar trabajar con el oficial de seguridad en estos turnos como una forma de control preventivo.
C. desarrollar una técnica de auditoría asistida por computadora para detectar las instancias de abusos de este arreglo.
D. revisar el registro de sistema para cada uno de los turnos nocturnos para determinar si ocurrieron

Unanswered

Q.39) Muchas organizaciones requieren que todos los empleados toman una vacación obligatoria de una semana o
más para:

A. asegurar que el empleado mantiene una calidad de vida, que conducirá a mayor productividad.
B. reducir la oportunidad de que un empleado cometa un acto indebido o ilegal. (Correct Answer)
C. proveer entrenamiento cruzado apropiado a otro empleado
D. eliminar la interrupción potencial causada cuando un empleado toma un día libre por vez.

Unanswered
Q.40) El grupo de garantía de calidad (quality assurance) es típicamente responsable de:

A. asegurar que el output recibido del procesamiento de sistemas esté completo.

B. monitorear la ejecución de tareas de procesamiento de computadora
C. asegurar que los programas y los cambios de programas y la documentación se adhieran a las normas establecidas. (Correct
Answer)
D.
diseñar procedimientos para proteger los datos contra revelación accidental, modificación o destrucción.
Unanswered

Q.41) ¿Cuál de las siguientes es la MEJOR forma de manejar cintas magnéticas obsoletas antes de disponer de
ellas?

A. Sobrescribir las cintas

B.
Inicializar las etiquetas de cintas
C. Desmagnetizar las cintas (Correct Answer)
D.
Borrar las cintas

Unanswered
Q.42) Un comité de dirección de SI debe:

A.
incluir una combinación de miembros de diferentes departamentos y niveles de gerencia
B.
asegurar que las políticas y procedimientos de seguridad de SI hayan sido debidamente ejecutados.
C.
tener términos formales de referencia y mantener las actas de sus reuniones. (Correct Answer)
D.
ser informado por un proveedor sobre las nuevas tendencias y productos en cada reunión.

Unanswered

Q.43) Un administrador de base de datos es responsable de:

A. definir la propiedad de datos

B. establecer normas operativas para el diccionario de datos.
C. crear la base de datos física y lógica. (Correct Answer)
D.
establecer reglas básicas para asegurar la integridad y seguridad de los datos.

Unanswered
Q.44) La participación de la alta gerencia es MÁS importante en el desarrollo de:

A.
planes estratégicos (Correct Answer)
B.
políticas de SI
C.
procedimientos de SI
D.
normas y lineamientos

Unanswered

Q.45) ¿Cuál de los siguientes controles de ingreso de datos provee la MAYOR garantía de que los datos ingresados
no contienen errores?

A.
Verificación de llave (Correct Answer)
B.
Segregación de la función de ingreso de datos de la verificación de ingreso de datos.
C. Mantener una bitácora /registro detallando la hora, la fecha, las iniciales del empleado, la identificación del usuario, y el
progreso de diversas tareas de preparación y verificación de datos.
D. Agregar dígitos de verificación.

Unanswered
Q.46) Un administrador de LAN estaría normalmente restringido de:

A. tener responsabilidades de usuario final

B. reportarse al gerente de usuario final.
C. tener responsabilidades de programación (Correct Answer)
D. ser responsable de la administración de seguridad de la LAN
Unanswered

Q.47) Un auditor de SI está revisando la función de administración de bases de datos para determinar si se ha hecho
la disposición adecuada para controlar los datos. El auditor de SI debería determinar que:

A. la función se reporte al procesamiento de operaciones de datos.

B. las responsabilidades de la función estén bien definidas. (Correct Answer)
C. el administrador de base de datos sea un programador de sistemas competente.
D. el software de auditoría tenga la capacidad de tener acceso a la base de datos de una manera eficiente.

Unanswered
Q.48) Un empleado de Si de largo plazo que cuenta con un antecedente técnico fuerte y con amplia experiencia gerencial
ha aplicado para una posición vacante en el departamento de auditoría de SI. La determinación de si se debe
contratar a esta persona para esta posición debería basarse en la experiencia de la persona y en:

A.
la duración del servicio ya que esto ayudará a asegurar la competencia técnica.
B.
la edad, ya que entrenar en técnicas de auditoría puede ser impráctico.
C. los conocimientos de SI ya que esto traerá mayor credibilidad a la función de auditoría.
D. la capacidad como auditor de SI para ser independiente de las relaciones existentes de SI. (Correct Answer)

Unanswered

Q.49) ¿Es apropiado que un auditor de SI de una compañía que está considerando hacer outsourcing de
procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada proveedor?

A. Sí, porque el auditor de SI evaluará la adecuación del plan de la oficina de servicio y asistirá a su compañía implementar un
plan complementario. (Correct Answer)
B. Sí, porque, basado en el plan, el auditor de SI evaluará la estabilidad financiera de la oficina de servicio y su capacidad para
cumplir el contrato.
C. No, porque el respaldo a ser provisto debería ser especificado adecuadamente en el contrato.
D. No, porque el plan de continuidad del negocio de la oficina de servicio es información privada.

Unanswered
Q.50) Una probable ventaja para una organización que ha efectuado outsourcing a su procesamiento de servicios de
datos es que:

A.
la experiencia que se necesita de SI puede obtenerse desde el exterior. (Correct Answer)
B.
se puede ejercer mayor control sobre el procesamiento.
C. se pueden establecer y ejecutar internamente prioridades de procesamiento.
D. se requiere mayor participación del usuario para comunicar las necesidades del usuario.

Unanswered

Q.51) Un auditor de SI debería preocuparse cuando un analista de telecomunicaciones:

A. monitorea el desempeño de sistemas y rastrea problemas resultantes de cambios de programa (Correct Answer)
B.
revisa los requerimientos de carga de red en términos de volúmenes corrientes y futuros de transacciones.
C. evalúan el impacto de la carga de red sobre el tiempo de respuesta de la terminal y las velocidades de transferencia de datos
de red.
D. recomienda procedimientos y mejoras de balanceo de red.

Incorrect
Q.52) ¿Cuál de los siguientes es un control sobre las actividades de administración de base de datos?

A. Un punto de verificación de base de datos para reiniciar el procesamiento después de una falla del sistema.
 B.
Compresión de base de datos para reducir el espacio no utilizado
C.
Revisión de supervisión de los registros de acceso (Correct Answer)
D.
Procedimientos de respaldos y recuperación para asegurar la disponibilidad de la base de datos. (Your Answer)

Incorrect

Q.53) Un auditor de SI que revisa un contrato de outsourcing de las instalaciones de TI esperaría que éste defina:

A. la configuración del hardware

B. el software de control de acceso
C. la propiedad de la propiedad intelectual (Correct Answer)
D. la aplicación de metodología de desarrollo. (Your Answer)

Incorrect
Q.54) ¿Cuál de las siguientes funciones representaría un riesgo si se combinara con la de un analista de sistemas, debido
a la falta de controles compensatorios?

A. Programación de aplicaciones
B.
Ingreso de datos
C.
Aseguramiento de calidad (Correct Answer)
D.
Administrador de base de datos (Your Answer)

Incorrect

Q.55) Un auditor de SI que revisa el plan estratégico de TI de una organización debería PRIMERO revisar:

A. el entorno de TI existente
B. el plan de negocios (Correct Answer)
C. el presupuesto actual de TI (Your Answer)
D. las tendencias corrientes de la tecnología.

Incorrect
Q.56) En una organización pequeña, un empleado realiza operaciones de computadora y, cuando la situación lo exige,
programa modificaciones. ¿Cuál de lo siguiente debería recomendar el auditor de SI?

A.
Conexión automatizada de cambios con las bibliotecas de desarrollo
B.
Personal adicional para proveer separación de funciones
C.
Procedimientos que verifiquen que sólo se implementan los cambios de programa aprobados (Correct Answer)
D.
Controles de acceso para impedir que el operador haga modificaciones de programa. (Your Answer)

Incorrect

Q.57) ¿Cuál de los siguientes sería incluido en la política de seguridad de SI de una organización?

A. Una lista de recursos clave de TI a ser asegurada

B. La base para la autorización de acceso (Correct Answer)
C. La identidad de las características de seguridad sensitivas
D. Características relevantes del software de seguridad. (Your Answer)