Cuestionario de repaso del capítulo I

1-      ¿Qué cambio en la empresa provocan tensión en el control interno existentes?

          La mayoría de las organizaciones han acometido varias iniciativas en ese sentido,
tales como:
-La reestructuración de los procesos empresariales
-La gestión de la calidad total
El redimensionamiento por reducción y/o por aumento del tamaño hasta el nivel
correcto.
La contratación externa  
-La descentralización.

2-      ¿Cuáles son las funciones del control interno informático?

El control interno informático controla que todas las actividades de sistemas de
información sean realizadas cumpliendo los procedimientos, estándares y normas
fijados por la Dirección de la organización y/o dirección de informática, así como los
requerimientos legales.
Como principales objetivos o funciones podemos indicar los siguientes:-Control de las
actividades (que estas se realicen cumpliendo con las normas de la empresa u
organización, así también con las normas legales).-Asesoramiento sobre el
conocimiento de las normas.
-Colaborar y apoyar el trabajo de Auditoria Informática, así como de las auditorías
externas al grupo.
-Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los
grados adecuados del servicio informático.

3-      ¿Cuáles son los objetivos de la auditoria informática?   

Son objetivos de protección de activos e integridad de los datos.

Objetivos de gestión que abarcan, no solamente los de protección de activos, sino

también los de eficacia y eficiencia.

4-      ¿Cuáles son las semejanzas y diferencia entre control interno y auditoria informática?
 Semejanzas: Personal interno, conocimiento especializados en Tecnología de la
Información, verificación del cumplimiento de controles internos, normativas y
procedimientos establecidos por la Dirección de Informática y la dirección General para
los sistemas de información.

Diferencias:
 Control interno informático
Análisis de los controles en el día a
día, informa a la dirección del
Departamento de informática, solo
personal interno, el alcance de sus
funciones es. Únicamente sobre el
depto. Informática
Auditoria informática
Análisis         de        un momento
informático   determinado, informa
General personal interno y/o externo,
tiene  cobertura sobre todos
los     componentes sistemas
La organización.

5-      Ponga ejemplo de controles correctivos en diversas área informática

La recuperación de un fichero dañado a partir de la copia de seguridad.
Eliminación de virus mediante el uso de un antivirus o mediante el formateo de un
computador.
3. Restricciones en el acceso a diferentes páginas web.
6-      ¿Cuáles son los principales controles en el área de desarrollo?

La alta dirección debe publicar una normativa sobre el uso de Metodologia de ciclo de
vida del desarrollo de sistema y revisar esta periódicamente.

La Metodologia debe establecer los papeles y responsabilidades  de las distintas

De distintas área del departamentos de informática y de los usuarios.

Las  especificación del nuevo sistema deben ser definidas por los usuarios y quedar
escritas y apropiada ante de que comience el proceso de desarrollo.
Debe establecerse un estudio tecnológico de viabilidad en el cual se formulen formas
alternativas de alcanzar los objetivos del proyecto acompañadas de un análisis coste-
beneficio de cada alternativa.
Cuando se seleccione una alternativa debe realizarse el plan director del proyecto. En
dicho plan deberá existir una metodología de control de coste.
Procedimiento para la definición y documentación de especificaciones de: diseño, de
entrada, de salida, de archivo, de proceso, de programas, de controles de seguridad, de
pistas de auditorías, etc.
Plan de validación, verificación y pruebas.
Estándares de pruebas de programas, de pruebas de sistemas.
  Plan de conversión: prueba de aceptación final.
   Los procedimientos de adquisición de software deberían seguir las políticas de
adquisición de la organización y dichos productos deberían ser probados y revisados
antes de pagar por ellos y ponerlos en uso.
La contratación de programas de servicios de programación a medida ha de estar
justificada mediante una petición escrita de un director de proyecto.
 Deberían de prepararse manuales de operación y mantenimiento como parte de todo
proyecto de desarrollo o modificación de sistemas de información, así como manuales
de usuarios.

7-      ¿Qué proceso definirá para controlar la informática distribuida y las redes?

·         Planes adecuados de implementación, conservación y pruebas de adaptación para la
red O  Existencia de un grupo de control de red.
·         Controles para asegurar la compatibilidad de conjunto de datos entre aplicaciones
cuando la red es distribuida.
·         Procedimientos que definan las medidas y controles de seguridad a ser usados en la red
de informática en conexión con la distribución del contenido de bases de datos entre los
depto. Que usan la red.
·         Que se identifique todos los conjuntos de datos sensibles de la red y que se han
determinado las especificaciones para su seguridad.
·         Existencia de inventarios de todos los activos de la red.
·         Procedimiento de respaldo del hardware y software de la redo Existencia de
mantenimiento preventivo de todos los activos.
·         Existencia de controles que verifiquen que todo los mensajes de salida se validad de
forma rutinaria para asegurar que contienen direcciones de destino válidas.
·         Controles de seguridad lógica: control de acceso a la red, establecimiento de perfiles de
usuarios.
·         Procedimientos de cifrado de la información sensible que se trasmite a través de la red.
·         Diseño de trazado físico y las medidas de seguridad de las líneas de comunicación
local dentro de la organización.
·         Detectar la correcta o mala recuperación de mensajes.
·         Identificar los mensajes por una clave individual de usuario, por terminal, y por el
número de secuencia del mensaje.
·         Revisar los contratos de mantenimientos y que el tiempo medio de servicio acordado
con el proveedor con objeto de obtener una cifra de control constante.
·         Determinar si el tiempo multiplexor/concentrador/procesador frontal remoto tiene
lógica redundante y poder de respaldo con realimentación automática para el caso de
que falle.
·         Asegurarse de que haya procedimientos de recuperación y reinicio.
·         Existencia de pista de auditoria que puedan usarse en la reconstrucción de los archivos
de datos y de las transacciones de los diversos terminales. Debe existir la capacidad de
rastrear los datos entre la terminar y el usuario.
·         Considerar circuito de conmutación que usen rutas alternativas para diferentes
paquetes de información provenientes del mismo mensaje.

8-      ¿Qué controles se deberían establecer  en las aplicaciones?

a.       Control de entrada de datos
b.      Controles de tratamientos de datos
c.       Controles de salida de datos

9-      ¿Cómo justificaría ante un directivo de empresa  la inversión necesaria en control

y auditoria  informática?
Sencillamente teniendo en cuenta que si no aplica los controles internos en su empresa,
institución u organización esta será un desorden, porque no habrá parámetros, o un
control de cómo hacer las cosas, y si no hace la auditoria informática, no va a estar al
tanto de que todo marcha bien en cuanto a esa área.
10-  Describa la informática como modo de estructuración de las empresas.
La informática en una empresa en estos tiempos es muy importante ya que las pequeñas,
medianas y grandes empresas brindan un servicio muy amplio, por así decirlo, por ello
necesita de la informática para que la realización de todas las tares que se hagan, se
realicen de una forma rápida y fácil. No hay un modo específico de como describir la
informática como modo de estructuración de una empresa ya que estas son muy
diferentes i la informática se aplica en formas diferente, en otras palabras la informática
se le aplicara a la empresa dependiendo de la empresa.

Cuestionario de Repaso del Capítulo II

1-      Defina brevemente que es el ciclo de Deming  ¿De cuantas fases consta?
El ciclo de Deming, también conocido como círculo PDCA (de Edwards Deming), es
una estrategia de mejora continua de la calidad en cuatro pasos, basada en un concepto
ideado por Walter A. Shewhart. También se denomina espiral de mejora continua. Es
muy utilizado por los Sistemas de Gestión de Calidad (SGC).
Las siglas, PDCA son el acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar,
Actuar).
2-      ¿Cuál es la relación entre el motor y el PDCA en los sistema de gestión de la TIC?
La relación que existe es que el ciclo de Deming es considerado como el motor en los
sistemas de gestión de la TIC.

3-      ¿Qué es el conocimiento en el modelo Motor- Conocimiento de los sistemas de

Gestión de la TIC?
 El conocimiento es una guía de buenas  prácticas que, desde  la perspectiva del sistema
de información se define como propietario o base de datos de controles.

4-      En el SGSI-sistema de gestión de la seguridad de la información, ¿Cuál sería la

base o fundamento del sistema?  Está basado en las normas UNE ISO/ IEC 27001:  1:
2005 (motor-PDCA)  y en la norma UNE  ISO/ IEC 2000 – 2.

5-       En la metodología de la evaluación de riesgo explique brevemente las pruebas de

cumplimiento y sustantivas.
 Existen cuatro motivos por los que se utiliza la evaluación de riesgos, estos son:
Permitir  que la gerencia asigne recursos necesarios para la auditoría. Garantizar que se
ha obtenido la información pertinente de todos los niveles gerenciales, y garantiza que
las actividades de la  función de auditoría se dirigen correctamente a las áreas de alto
riesgo y constituyen un valor  agregado para la gerencia
6-      En un modelo de certificación de sistema de gestión de TIC, explique brevemente
que es la visita previa y la auditoria inicial.   
Una auditoría inicial es la primera auditoría que se realiza a una empresa según la IFS.
Se lleva a cabo en fechas y horarios acordados entre la empresa y la entidad de
certificación seleccionada. Durante esta auditoría, se audita la empresa en su totalidad,
tanto los documentos como los procesos. Durante la auditoría, el auditor debe evaluar
todos los requisitos de IFS. En el caso de una auditoría previa, el auditor que lleve a
cabo esta auditoría será diferente del que lleve a cabo la auditoría inicial

Cuestionario de Repaso del capítulo III

1-      ¿Qué diferencia y similitudes existen entre la metodología cualitativa y las

cuantitativas? ¿Qué ventaja y que inconveniente tienen?
Diferencias: las cuantitativas se basan en un modelo matemático numérico que ayuda  a
la realización del trabajo, y las cualitativas se basan en el razonamiento  Humano capaz
de definir un proceso de trabajo.
 Similitudes: ambas van encaminadas a establecer y mejorar un entramado de
contramedidas que garanticen que la probabilidad de que las amenizas se
Materialicen, sea lo más baja posible o al menos quede reducida de una
Forma razonable en costo-beneficio, y también dependen de un
Profesional.
Ventajas:

- Cualitativas: enfoca lo más amplio, plan de trabajo flexible y reductivo, se

Concentra en la identificación de eventos, incluye factores intangibles.
- Cuantitativas: enfoca pensamientos mediante uso de números, facilita la
Comparación de vulnerabilidades muy distintas, proporciona una cifra
Justificante para cada contramedida.
Desventajas:
- Cualitativas: depende fuertemente de la habilidad y calidad del personal
Involucrado, puede excluir riesgos significantes desconocidos, identificación
De eventos reales más claros al no tener que aplicar probabilidades complejas
De calcular, dependen de un profesional.

- Cuantitativas: la estimación de probabilidades dependen de estadísticas

 Fiables inexistentes, estimación de las pérdidas potenciales solo si son
Valores cuantificables, metodologías estándares difíciles de mantener o
Modificar.
2-      Cuáles son las componentes de una contramedida o control (Pirámides de
seguridad)? ¿Qué papel tienen las herramientas de control? ¿Cuáles son las
herramientas de control más frecuentes?
Componentes: la normativa, la organización, las metodologías, los objetivos de control, 
los procedimientos de control, tecnologías de seguridad, las herramientas de control.
- El papel que desempeñan las herramientas de control que permite definir uno o varios 
procedimientos de control para cumplir una normativa y un objetivo de control.
Herramientas de control más frecuentes: seguridad lógica del sistema, seguridad lógica 
complementaria al sistema, seguridad lógica para entornos distribuidos, control de 
acceso físico, control de copias, gestión de soporte magnético, gestión y control de 
Impresión y envío de listados por red, control de proyectos, control de versiones,
control  y gestión de incidencias, control de cambio.
3-      ¿Qué tipo de Metodologia de plan de contingencia  existen?  ¿En qué se
diferencia? ¿qué es un plan de contingencia?
Existen dos tipos de plan de contingencia que son plan de contingencia informático y
pan de contingencias corporativo.

Diferencias: la corporativa cubre no sola la informática sino todos los departamentos  de

una entidad, y puede incluir también el informativo como un departamento más.
Un plan de contingencia es una estrategia planificada por un conjunto de recursos de 
respaldo, una organización de emergencia y unos procedimientos de actuación
encaminada a conseguir una restauración progresiva y ágil de los servicios de negocios
afectados por una paralización total o parcial de la capacidad operativa de la empresa.

4-      ¿Qué Metodologia de auditoria informática existen? ¿Para qué se usa cada una?
Existen dos que son las auditorias de controles generales y las metodologías de los
auditores internos.
Las auditorias de controles generales se usan para obtener una opinión sobre la
Fiabilidad de los datos, basadas en pequeños cuestionarios estándares que dan como 
resultados informes muy generalistas. Por otro lado la metodología de auditor interno
también cumple la misma función pero son diseñadas por el propio auditor.
5-      ¿Qué es el nivel de exposición y para qué sirve?
El nivel de exposición es un indicativo definido subjetivamente que permite en base a
la  evaluación final de la última auditoría realizada definir la fecha de la repetición de la
misma auditoria.
6-      ¿Qué diferencias existen entre las figuras de auditoria informática y control
Interno informático?  ¿Cuáles son las funciones más importantes de este?
 La clara diferencia entre ambos elementos es que, el control interno monta los controles 
del proceso informático, mientras que la auditoria informática evalúa el grado de
control.
Funciones principal:

Control interno informático: funciones de control dual con otros departamentos, 

normativa y del cumplimiento del marco jurídico, responsable del desarrollo y
mantenimiento del plan de contingencias, controles de coste, controles de medida de
seguridad física o corporativa en la información.

7-      ¿Cuáles son las dos metodologías más importantes para el control interno
informático? ¿para qué sirve cada una?
En el control interno informático existen dos grandes familias. Esta es:
Cuantitativa: sirve para la realización de un trabajo.
Cuantitativa: sirve para definir un proceso de trabajo y seleccionar en base las
experiencias acumuladas.
8-       ¿Qué papel tienen las herramientas de control en los controles?
Las herramientas de control son elementos software que por sus características
funcionales permiten vertebrar el control de una manera más actual y más
automatizadas.
9-       ¿Cuáles son los objetivos de control en el acceso lógico?

Segregación de funciones entre los usuarios, integridad de los “log” e imposibilidad de 
desactivarlos por ningún perfil para poder revisarlos, gestión centralizada de la
seguridad o al menos única, contraseña única para los distintos sistemas de la red, la
contraseña y archivos con perfiles y derechos inaccesibles a todos, el sistema debe
rechazar a los usuarios que no usan la clave, separación de entornos, el log o los log’s
de actividad no podrán desactivarse a voluntad, el sistema debe obligar a los usuarios a
cambiar la contraseña y es frecuente encontrar mecanismos de auto-loguot.
10-   Que es la certificación de seguridad? ¿Qué aporta la ISO 17779? ¿Que
Metodologia se utilizan en el desarrollo de un SGSI?

Un certificado de seguridad es una medida adicional de confianza a los usuarios que

visitan y realizan actividades o transacciones en una página web. Permite el cifrado de
los datos entre el servidor representante a la página y los datos del ordenador del
usuario.
Un concepto más preciso sería que un certificado de seguridad logra que los datos
personales de los usuarios queden en criptados y de esta forma sea imposible por los
demás usuarios interceptarlos.
La ISO 17799 da la pauta en la definición sobre cuáles metodologías, políticas o
criterios técnicos pueden ser aplicados en el régimen de manejo de la seguridad de
la información.
Se utiliza la Metodología de PDCA.