ESTUDIO DE CASO A

Se ha pedido al auditor de SI que realice un trabajo preliminar que evaluará el grado de preparación
de la organización para que una revisión mida el cumplimiento de los nuevos requerimientos
regulatorios. Estos requerimientos están diseñados para asegurar que la gerencia este asumiendo
un papel activo en establecer y mantener un ambiente bien controlado y, en consecuencia, evaluará
la revisión de la gerencia y las pruebas del ambiente general de control de TI.

Las áreas a ser evaluadas incluyen seguridad lógica y física, gestión de cambios, control de
producción y gestión de redes, gobierno de TI, y computación de usuario final. Al auditor de SI se le
han dado seis meses para realizar este trabajo preliminar, de modo que debe haber disponible
suficiente tiempo. Se debe señalar que en años anteriores se han identificado reiterados problemas
en las áreas de seguridad lógica y gestión de cambios, de modo que estas áreas muy probamente
requerirán algún grado de rectificación. Las deficiencias de seguridad lógica notada incluyeron
compartir las cuentas de administrador y no ejecutar los controles adecuados sobre las Contraseñas.

Las deficiencias de gestión de cambios incluyeron indebida segregación de funciones incompatibles

y no documentar todos los cambios. Adicionalmente, el proceso para desplegar las actualizaciones
del sistema operativo a los servidores se encontró que era sólo parcialmente efectivo. En anticipación
del trabajo a ser realizado por el auditor de SI, el director de información (CIO) solicitó reportes
directos para desarrollar narrativas y flujos de proceso que describieran las principales actividades
de las que TI es responsable. Estos se llevaron a cabo, fueron aprobados por los diferentes dueños
de proceso y por el CIO, y fueron luego enviados al auditor de SI para examen.

A1. ¿Qué debería hacer PRIMERO el auditor de SI?

A. Efectuar una evaluación del riesgo de TI.
B. Realizar una auditoría de inspección de los controles de acceso lógico
C. Realizar el plan de auditoría para concentrarse en la auditoría basada en el riesgo.
D. Aprobar los controles que el auditor de SI estima que son los más críticos.
 ESTUDIO DE CASO B
Un auditor de SI está planificando revisar la seguridad de una aplicación financiera para una gran
compañía con varios lugares en todo el mundo. El sistema de aplicación está constituido por una
interfaz web, una capa lógica de negocio y una capa de base de datos. Se accede a la aplicación
localmente a través de internet mediante una conexión de redes virtuales privadas VPN

B1. Dado que se accede a la aplicación a través de Internet, ¿Cómo debe el auditor determinar si
debe revisar detalladamente las reglas del cortafuego (firewall) y los parámetros de configuración
de VPN?

A. Análisis documentado del riesgo

B. Disponibilidad de experiencia técnica
C. Método usado en la auditoria anterior
D. Directrices y mejores prácticas de auditoría de SI

B2. Durante la revisión, si el auditor detecta que el objetivo de control de autorización de

transacciones no puede cumplirse debido a una ausencia de roles y privilegios claramente definidos
en la aplicación, el auditor debe PRIMERO:

A. Revisar la autorización en una muestra de transacciones

B. Reportar inmediatamente este hallazgo a la gerencia superior
C. Solicitar que la gerencia del auditado revise si los derechos de acceso para todos los usuarios
son apropiados.
D. Usar un software generalizado de auditoria (GAS) para verificar la integridad de la base de datos
 ESTUDIO DE CASO C

Un auditor de SI ha sido designado para llevar a cabo auditorias de SI en una entidad por un periodo
de 2 años. Después de aceptar la designación, el auditor de SI noto que:

▪ La entidad tiene un estatuto de auditoria que detalla, entre otras cosas, el alcance y las
responsabilidades de la función de auditoria de SI y especifica al comité de auditoría como
el organismo de supervisión para la actividad de auditoría.

▪ La entidad está planificando un aumento importante en la inversión de TI, principalmente a cuenta

de la implementación de una nueva aplicación ERP, integrando los procesos del negocio en todas
las unidades dispersas geográficamente. La implementación de ERP se espera que esté en
operación dentro de los próximos 90 días. Los servidores que soportan las aplicaciones del negocio
están alojados fuera de las instalaciones por un tercero proveedor de servicios.

▪ La entidad está sujeta a requerimientos regulatorios de cumplimiento que obligan a su gerencia a

certificar la eficacia del sistema de control interno cuando éste se relaciona con el reporte financiero.
La entidad ha estado registrando crecimiento al doble del promedio de la industria consistentemente
por los últimos dos años. Sin embargo, la entidad ha visto también aumentada su rotación de
empleados.

C1. La PRIMERA prioridad del auditor de SI en el Año 1 debe ser estudiar:

A. Los informes de auditorías de SI anteriores y planificar el cronograma de auditoria.

B. Auditar el estatuto y planificar el cronograma de auditoría.
C. El impacto del nuevo colaborador como CISO
D. El impacto de la implementación del nuevo ERP en el ambiente de TI y planificar el cronograma
de auditoría.

C2. ¿Cómo debe el auditor de SI evaluar el respaldo y el procesamiento de lotes dentro de las
operaciones de computadora?

A. Planificar y llevar a cabo una revisión independiente de las operaciones de computadora

B. Basarse en el informe del auditor de servicio del proveedor de servicio
C. Estudiar el contrato de la entidad y el proveedor de servicio
D. Comparar el informe de entrega del servicio con el contrato de nivel de servicio.