CUESTIONARIO CA9-1

Seleccione las Características de la Norma 27000 de seguridad

Seleccione una o más de una:
a. Le interesa a cualquier tipo de empresa sin importar su tamaño y actividad
b. Es una adaptación de ISO de la norma británica BS 7799-2
c. Se orienta a mejorar la productividad de la empresa
d. Se orienta a los activos fijos de la empresa

Seleccione la respuesta correcta relacionada con los tipos de procesos de un sistema de seguridad
de la información
Seleccione una:
a) Procesos enfocados a conseguir las metas empresariales apoyadas en TIC y los procesos que se
integraran dentro de los procesos propios de cada actividad empresarial en conjunto con las demás
dimensiones como la calidad o el medio ambiente
b) Procesos enfocados a conseguir únicamente de los objetivos propios del sistema de seguridad de
información y los procesos que permitan evaluar su cumplimiento.
c) Proceso de gestión y cambio y cultura de la organización
d) Procesos enfocados a conseguir la revisión y mejora continua del sistema y que serán comunes a
los procesos de gestión de calidad, medio ambiente, y los procesos que se integraran dentro de
los procesos propios de cada actividad empresarial en conjunto con las demás dimensiones como
la calidad o el medio ambiente

Selecciones los aspectos que debería auditar las acciones de mejora o dentro de un Sistema de
Gestión de la Información
Seleccione una o más de una:
a) Establecer mecanismos de control para validar si se encuentran identificados los objetivos del
SGS Sistema de Gestión de la Seguridad de la Información, Levantamiento de las expectativas
de las partes interesadas e identificación de las mismas y el establecimiento e implementación
que incluya una revisión planificada considerando oportunidades de mejora
b) Proceso de creación de un plan para abordar riesgos y oportunidades considera las expectativas
de las partes interesadas en relación a la Seguridad de la Información, un proceso de
establecimiento de objetivos de la Seguridad de la Información medibles y acordes a los objetivos
del negocio, la integración de los objetivos de la Seguridad de la Información en los procesos de
la organización teniendo en cuenta las funciones principales dentro de la Organización.
c) Proceso donde se establezca las no Conformidades y acciones correctivas, como los
procedimientos documentados para identificar y registrar las no conformidades y su tratamiento
d) Establecimiento de un mecanismo de provisión de los recursos materiales y humanos necesarios
para el cumplimiento de los objetivos, creación de una Política de la Seguridad de la Información
con su documentación respectiva
Selecciones los aspectos que debería auditar las acciones de Planificación en un Sistema de Gestión
de la Información
Seleccione una o más de una:
a) Establecer mecanismos de control para validar si se encuentran identificados los objetivos del
SGS Sistema de Gestión de la Seguridad de la Información, Levantamiento de las expectativas
de las partes interesadas e identificación de las mismas y el establecimiento e implementación
que incluya una revisión planificada considerando oportunidades de mejora.
b) Proceso donde se establezca las no Conformidades y acciones correctivas, como los
procedimientos documentados para identificar y registrar las no conformidades y su tratamiento
c) Establecimiento de un mecanismo de provisión de los recursos materiales y humanos necesarios
para el cumplimiento de los objetivos, creación de una Política de la Seguridad de la Información
con su documentación respectiva
d) Proceso de creación de un plan para abordar riesgos y oportunidades considera las expectativas
de las partes interesadas en relación a la Seguridad de la Información, un proceso de
establecimiento de objetivos de la Seguridad de la Información medibles y acordes a los objetivos
del negocio, la integración de los objetivos de la Seguridad de la Información en los procesos de
la organización teniendo en cuenta las funciones principales dentro de la Organización.
¿Cuál es el concepto de un incidente?
Seleccione una:
a) Procesos programados, que entrará en funcionamiento a partir de los eventos comunicados por
los usuarios a través de las herramientas de monitoreo.
b) Procesos planificados , que entrará en funcionamiento a partir de los eventos comunicados por los
usuarios a través de las herramientas de monitoreo.
c) Procesos más reactivos, que entrará en funcionamiento a partir de los eventos comunicados por
los usuarios a través de las herramientas de monitoreo.
d) Procesos informados que entrará en funcionamiento a partir de los incidentes comunicados por
los usuarios a través de las herramientas de monitoreo.
e) Procesos ejecutados, que entrará en evaluación a partir de los eventos comunicados por los
usuarios a través de las herramientas de monitoreo.
La gestión de peticiones tiene las siguientes actividades:
Seleccione una o más de una:
a) Entrega y Cierre del servicio.
b) Validación con TI la aplicación de la petición
c) Usuarios presentan sus solicitudes
d) Análisis del tipo de petición por TI
e) Costos asociados y autorización si es pertinente.
Los niveles de madurez no son un objetivo, sino más bien son un medio para evaluar la adecuación
de los controles internos respecto a los objetivos del sistema de gestión.
Verdadero
Falso
La importancia de la contabilidad radica en:
Seleccione una:
a) Registrar, clasificar y resumir las operaciones mercantiles de un negocio con el fin de interpretar
sus resultados
b) Conducen a la obtención del máximo rendimiento económico
c) Suministrar información cuando sea requerida o en fechas determinadas en base a registros
técnicos, de las operaciones realizadas por un ente público o privado
d) Es el arte de interpretar, medir y describir la actividad económica
La unidades de tecnología deben esta acopladas a;
Seleccione una o más de una:
a) con autonomía para tomar decisiones unilaterales
b) Involucramiento de la alta dirección
c) marco de trabajo por funciones
d) marco de trabajo por actividades
e) responsabilidad de una unidad
f) orientada solamente a infraestructura de TI
g) Marco de trabajo para procesos
h) responsabilidad compartida para mejora la efectividad
Cuál es la norma de control interno de la Contraloría General del Estado que se esta cumpliendo
con los siguientes datos:

Seleccione una:
a) 410-04
b) 410-05
c) 410-02
d) 410-01
 e) 410-03
Seleccione los componentes de un sistema de seguridad de la información
Seleccione una o más de una:
a) Incluye análisis de los procesos empresariales
b) Incluye una cuantificación de las veces que acceden los usuarios
c) Procesos para mantener e implementar la seguridad de información
d) Incluye una caracterización de cargos de todos los funcionarios
e) Incluir un proceso continuo
f) Incluye aspectos de personal de contabilidad
g) Incluye un análisis de riesgos
Un sistema de Gestión de la seguridad de la información es complicado para la gestión de la propia
organización pero en un futuro se convierte en una ayuda para mejorar la seguridad de la
información
Seleccione una:
Verdadero
Falso
Para determinar la prioridad, se utiliza como buena práctica la combinación de impacto y el costo
del incidente
Seleccione una:
Verdadero
Falso
La empresa " La Económica" requiere un sistema que le permita simular la situación del negocio
y entender como reaccionará a cambios en algunas condiciones con una interfaz amigable para los
directivos.
Un grupo de auditores internos ha sugerido un sistema de apoyo a la operaciòn, ¿es verdadera o
falsa esta afirmaciòn ?
Seleccione una:
Verdadero
Falso
Según la recomendación de ITIL no es necesario tener un Gestor de Eventos
Seleccione una:
Verdadero
Falso
Cuál es la norma de control interno de la Contraloria General del Estado que se esta cumpliendo
con los siguientes datos:

Seleccione una:
a) 410-16
b) 410-13
c) 410-12
d) 410-14
e) 410-15
La UTIC creará mecanismos que faciliten la administración de todos los proyectos informáticos
que ejecuten las diferentes áreas que conformen dicha unidad, en el cual se incluirá desde la
formulación del proyecto hasta acciones que permitan realizar el cierre en donde se incluya la
aceptación formal y pruebas que certifiquen la calidad y el cumplimiento de los objetivos
planteados junto con los beneficios obtenidos.
Seleccione una:
Verdadero
Falso
Selecciones los aspectos que debería auditar las acciones el Liderazgo en un Sistema de Gestión de
la Información
Seleccione una o más de una:

a. Establecer mecanismos de control para validar si se encuentran identificados los objetivos del
SGS Sistema de Gestión de la Seguridad de la Información, Levantamiento de las expectativas
de las partes interesadas e indentifiación de las mismas y el establecimiento e implementación
que incluya una revisión planificada considerando oportunidades de mejora
 b. Proceso de creación de un plan para abordar riesgos y oportunidades considera las expectativas
de las partes interesadas en relación a la Seguridad de la Información, un proceso de
establecimiento de objetivos de la Seguridad de la Información medibles y acordes a los objetivos
del negocio, la integración de los objetivos de la Seguridad de la Información en los procesos de
la organización teniendo en cuenta las funciones principales dentro de la Organización.
c. Establecimiento de un mecanismo de provisión de los recursos materiales y humanos necesarios
para el cumplimiento de los objetivos, creación de una Política de la Seguridad de la Información
con su documentación respectiva
d. Proceso donde se establezca las no Conformidades y acciones correctivas, como los
procedimientos documentados para identificar y registrar las no conformidades y su tratamiento

La información contable debe servir fundamentalmente para: Conocer y demostrar los recursos
controlados por un ente económico, las obligaciones que tenga de transferir recursos a otros entres,
los cambios que hubieren experimentado tales recursos y el resultado obtenido en el periodo.
Seleccione una:
Verdadero
Falso
En relación a las funciones relaciones según corresponda
Centro de servicios: → Implementación de una mesa de ayuda única
Gestión técnica: → Experto en TI encargado de los servicios de TI
Gestión de operaciones: → Mantenimiento de la infraestructura disponible,
Gestión de aplicaciones: → Analiza los servicios a implementarse.
Cuál es la norma de control interno de la Contraloria General del Estado que se esta cumpliendo
con los siguientes datos:
Seleccione una:
a. 410-12
b. 410-15
c. 410-11
d. 410-14
e. 410-13
Usted trabaja como auditor de TI en una empresa de tamaño medio, en la que la información
confidencial ha caído varias veces en manos equivocadas. Este suceso daño la imagen de la empresa
y le han pedido que realice una auditoria usted establece algunos procedimiento de control. ¿Cuál
seria la recomendación que no debería faltar?
Seleccione una:
a. Formular una política de uso relativa a los dispositivos móviles (computadores portátiles, usb,
discos portátiles, teléfonos inteligentes)
b. La necesidad de designar personal de seguridad física
c. Formular una política de acceso a las oficinas por parte de los empleados
d. Formular una política de verificación de activos de la empresa
e. Formular una política de control de acceso
Para auditar los elementos de soporte de un Sistema de Información se debe considerar
procedimiento de control relacionados con la información actualizada sobre la competencia del
personal.
Seleccione una:
Verdadero
Falso
Dentro de una organización se ha generado un incidente relacionado con un error en el acceso de
los usuarios, este es calificado con prioridad 1 y la velocidad de emergencia media. ¿Cuál es el
impacto que tiene?
Seleccione una:
a. 2
b. 5
c. 4
d. 1
e. 3
Las siguientes preguntas a que etapa de coso corresponden

Seleccione una:
a. Definición y alcance
 b. Diseño e Implementación
c. Actividades de control
d. Entorno de control
e. Supervisión y monitoreo

¿Qué aspectos debo controlar en un centro de servicios?

a. Listado de personal a cargo con funciones
b. Sistema de control interno para cumplimento de infraestructura
c. Anàlisis de vulnerabildiades de los servicios entregados
d. Informer de restauraciòn del servicio, evaluación de los niveles de calidad , infomes de gestión
de los incidentes.
e. Listado de llamadas atendidas, listado de personal a cargo

Seleccione el ciclo de vida que debe tener un incidente y su documentación

a. Validación, inspección, cierre
b. Recepciòn del pedido, registro, cierre
c. Investigación y diagnóstico, Resolución y recuperación, Cierre
d. Recepción, estadisticas, analisis, cierre
e. Anàlisis de base de conocimiento, documentación, Cierre
La estructura organizacional de tecnología de información debe considerar:
a. Necesidades de los usuarios
b. Avances tecnológicos
c. Priorizar los objetivos internos de TI
d. Estrategias institucionales
e. Considerar diferentes unidades responsables

Qué significa cada una de estas acciones.

Identidad → Se refiere a la información sobre el usuario, que lo distingue de los demás y muestra su
situación dentro de la organización,
Servicios → Proporcionar el acceso a cada servicio o conjunto de servicios,
Privilegios → Se refiere a la reglamentación definida que determina el acceso ofrecido al usuario para
un servicio o un grupo de servicios,
Servicios de directorio → Se refiere a un tipo específico de herramienta que se utiliza para gestionar los
derechos de acceso de los usuarios.

¿En la gestión de aplicaciones debo establecer controles para: el levantamiento de requisitos, el

diseño, la construcciòn, implementaciòn, operaciòn e implementaciòn?
Verdadero
Falso

La Unidad de Tecnología de Información debe efectuar las actividades de:

Seleccione una:
a. Asesoría y apoyo a las unidades usuarias exclusivamente trabajando por atender sus
requerimientos
b. Asesoría y soporte técnico a la alta dirección, solamente tomando decisiones de TI
c. Asesoría y apoyo a las unidades usuarias exclusivamente trabajando por atender sus
requerimientos
d. Asesoría y apoyo a la alta dirección y unidades usuarias, participando en la toma de decisiones
de la organización
e. Orientada totalmente al apoyo a la alta dirección y unidades usuarias, participando en la toma de
decisiones de la organización
La organizaciòn "XYZ" ha definido que procedimientos de control relacionado con las funciones
y responsabilidades de los usuarios de los sistemas de información, para poder establecer las
escalas salariales y cumplir la norma de la contraloria 410-02
Verdadero
Falso

Dentro de un contrato de soporte tècnico uno de los elementos a revisar es que en el manejo de
incidente se encuentre descrito los límites de tiempo para el escalamiento es decir los límites de
tiempos se deben definir para todas las fases de tratamiento con el incidente.
Seleccione una:
Verdadero
Falso

La empresa XYZ ha indicado en que el proceso de control interno utilizarà unicamente COSO,
porque no se puede trabajar con COBIT 5 ya que son dos marcos de referencia que tienen
diferentes objetivos.
Seleccione una:
Verdadero
Falso
Es un marco de referencia que incluye directivas para la implantación, gestión y control de un
sistema de control.
Seleccione una:
Verdadero
Falso
Las categorías de los eventos son:
Eventos informativos: → Trabajo en cola completado con éxito,
Eventos de alerta → Aumento del consumo de memoria al 75% por encima de de lo planificado en los
últimos 15 minutos,
Eventos de excepción → Más de 3000 usuarios conectados de forma simultánea en una misma aplicación.
¿Como calificaría el siguiente enunciado?
"El tiempo de transacción es superior a los límites normales":
R: EVENTO

La empresa pública “La Poderosa”, ha invertido en la formación del Administrador de Base de

Datos actualmente es el único que puede dar acceso a la información, en función de esto a que
norma de la contraloría esta incumpliento.
R: 410-02
Cuál es la norma de control interno de la Contraloría General del Estado que se está cumpliendo
con los siguientes datos:
a.410-05
b.410-01
c.410-04
d.410-02
e.410-03

Seleccione a que se refiere el siguiente enunciado:

"Es el riesgo al que se enfrenta la entidad en ausencia de acciones para modificar la probabilidad
e impacto"
Riesgo Inherente

Las TI empresarial aborda toda la empresa, no es exclusiva para TI de una organización

Seleccione una:
Verdadero
Falso
La gestión de problemas es una forma de reducir el número de incidentes, a través de este proceso,
solamente se analizan los problemas
Seleccione una:
Verdadero
Falso

COBIT ayuda a decidir cuál es la mejor estrategia de TI, cuál es la mejor arquitectura, o cuánto
puede o debería costar la TI.
Seleccione una:
Verdadero
Falso
Las Unidades de TI deben contemplar al menos las siguientes unidades:
a.- Infraestructura tecnológica, Proyectos tecnológicos y soporte técnico obligatoriamente en todas las
empresas
b.- Infraestructura tecnológica y soporte interno siempre y externo de ser el caso, considerando el tamaño
de la entidad y de la unidad de tecnología.
c.- Considera r los proyectos tecnológicos, infraestructura tecnológica y soporte interno siempre y
externo considerando el tamaño de la entidad.
d.- Proyectos tecnológicos considerando el tamaño de la entidad y de la unidad de tecnología.

La Unidad de Tecnología de Información regulará los procesos de desarrollo y adquisición de

software aplicativo con lineamientos, metodologías y procedimientos, seleccione los aspectos a
considerar:
Seleccione una o más de una:
a. Adopción, mantenimiento y aplicación de políticas públicas y estándares internacionales
b. Ejercutarse sobre la base del portafolio de proyectos y servicios priorizados
c. Adquisiciones que respondan prioritariamente a los avances tecnológicos
d. Unicamente estudios de mercado sustentados
e. Adquisiciones que cumplan los requerimientos de TI
f. Identificación, priorización, especificación y acuerdos de los requerimientos funcionales y
técnicos institucionales
g. Incluirà aspectos relevantes de la Unidad de TI
h. Deberá constar que los derechos de autor será de la entidad contratante y el contratista entregará
el código fuente.
Cuál es la norma de control interno de la contraloría general del estado que esta cumpliendo con los siguientes
datos:

a. 410-02
b. 410-03
c. 410-01
d. 410-05
e. 410-04

PREGUNTAS PRIMERA PRUEBA

Qué es la falsificación informática

El delito Informático o Crimen Electrónico, es el término genérico que se usa para aquellas operaciones
ilícitas realizadas por medio de la Internet o que tiene como objetivo destruir y dañar Ordenadores,
Medios Electrónicos y Redes de Internet.
Qué es un hacker ético

hacker que utiliza sus conocimientos de informática y seguridad para encontrar vulnerabilidades o fallas
de seguridad en el sistema, con el objetivo de reportarlas en la organización para que se tomen todas las
medidas necesarias que posibilite prevenir una catástrofe cibernética, como el robo de información.
https://www.iniseg.es/blog/ciberseguridad/que-es-el-hacking-etico/
Ejemplo de datos sensible

Datos sensibles: Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación
política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y
aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos
y libertades fundamentales. (Pag. 100 del pdf ley de proteccion de datos)

Ejemplo de disociación
Dato disociado: aquél que no permite la identificación de un afectado o interesado.

Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad
para la cual hubieran sido recabados o registrados. No obstante, podrán conservarse durante un tiempo

https://gahazas.com/2017/02/27/analisis-de-los-conceptos-de-anonimizacion-seudonimizacion-y-disociacion-en-el-
ambito-de-proteccion-de-datos/

Cuál es el objeto de ley de protección de datos

El objeto y finalidad de la presente ley es garantizar el ejercicio del derecho a la protección de datos personales,
que incluye el acceso y decisión sobre información y datos de este carácter, así como su correspondiente
protección. Para dicho efecto regula, prevé y desarrolla principios, derechos, obligaciones y mecanismos de tutela.
(Pag. 98 del pdf ley de proteccion de datos)

El objeto de la presente Ley es regular el ejercicio del derecho a la protección de datos personales, la
autodeterminación informativa y demás derechos digitales en el tratamiento y flujo de datos personales,
a través del desarrollo de principios, derechos, obligaciones y mecanismos de tutela.
Como se utiliza el olvido digital

Artículo 16.- Derecho al olvido digital.- El titular tiene el derecho a solicitar al juez competente, obtener sin
dilación indebida del responsable del tratamiento la supresión de sus datos personales que estén siendo tratados en
el entorno digital, cuando concurra alguna de las circunstancias siguientes:

1) Los datos personales sean de carácter obsoleto;

2) Los datos personales no tengan valor histórico o científico;

3) Los datos personales no sean de relevancia pública; o,

4) Los datos personales sean inadecuados, impertinentes o excesivos con relación a los fines y al tiempo
transcurrido.

El Reglamento a la presente ley establecerá los parámetros de aplicación de las circunstancias antes referidas.
(Pag. 109 del pdf ley de proteccion de datos)

Virus informáticos y malware

Son elementos informáticos, que como los microorganismos biológicos, tienden a reproducirse y a extenderse
dentro del sistema al que acceden, se contagian de un sistema a otro, exhiben diversos grados de malignidad y son
eventualmente, susceptibles de destrucción con el uso de ciertos antivirus, pero algunos son capaces de desarrollar
bastante resistencia a estos. (LIBRO VIRUS INFORMATICOS, pag 32 pdf )
Qué es un Caballo de troya

MANIPULACIÓN DE PROGRAMAS O LOS “CABALLOS DE TROYA” (Troya Horses), Es muy difícil de

descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos
de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en
insertar nuevos programas o nuevas rutinas. Un método común utilizado por las personas que tienen conocimientos
especializados en programación informática es el denominado Caballo de Troya que consiste en insertar
instrucciones de computadora de forma encubierta en un programa informático para que pueda realizar una función
no autorizada al mismo tiempo que su función normal. (LIBRO VIRUS INFORMATICOS, pag 29 pdf)

Funciones del responsable de datos personales

Artículo 48.- Obligaciones del responsable del tratamiento de datos personales.- El responsable del tratamiento de
datos personales está obligado a:

1) Tratar datos personales en estricto apego a los principios y derechos desarrollados en la presente Ley, en su
reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos
Personales, o normativa sobre la materia;

2) Aplicar e implementar requisitos y herramientas administrativas, técnicas, físicas, organizativas y jurídicas

apropiadas, a fin de garantizar y demostrar que el tratamiento de datos personales se ha realizado conforme a lo
previsto en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad
de Protección de Datos Personales, o normativa sobre la materia;

3) Aplicar e implementar procesos de verificación, evaluación, valoración periódica de la eficiencia, eficacia y

efectividad de los requisitos y herramientas administrativas, técnicas, físicas, organizativas y jurídicas
implementadas;

4) Implementar políticas de protección de datos personales a fines al tratamiento de datos personales en cada caso
en particular;

5) Utilizar metodologías de análisis y gestión de riesgos adaptadas a las particularidades del tratamiento y de las
partes involucradas;

6) Realizar evaluaciones de adecuación al nivel de seguridad previas al tratamiento de datos personales;

7) Tomar medidas tecnológicas, físicas, administrativas, organizativas y jurídicas necesarias para prevenir,
impedir, reducir, mitigar y controlar los riesgos y las vulneraciones identificadas;

8) Notificar a la Autoridad de Protección de Datos Personales y al titular de los datos acerca de violaciones a las
seguridades implementadas para el tratamiento de datos personales conforme a lo establecido en el procedimiento
previsto para el efecto;

9) Implementar la protección de datos personales desde el diseño y por defecto;

10) Suscribir contratos de confidencialidad y manejo adecuado de datos personales con el encargado y el personal
a cargo del tratamiento de datos personales o que tenga conocimiento de los datos personales;

11) Asegurar que el encargado del tratamiento de datos personales ofrezca mecanismos suficientes para garantizar
el derecho a la protección de datos personales conforme a lo establecido en la presente ley, en su reglamento, en
directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, normativa
sobre la materia y las mejores prácticas a nivel nacional o internacional;
12) Registrar y mantener actualizado el Registro Nacional de Protección de Datos Personales, de conformidad a
lo dispuesto en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la
Autoridad de Protección de Datos Personales;

13) Designar al Delegado de Protección de Datos Personales, en los casos que corresponda;

14) Permitir y contribuir a la realización de auditorías o inspecciones, por parte de un auditor acreditado por la
Autoridad de Protección de Datos Personales; y,

15) Los demás establecidos en la presente Ley en su reglamento, en directrices, lineamientos y regulaciones
emitidas por la Autoridad de Protección de Datos Personales, normativa sobre la materia.

(Pag. 122, 123 Y 124 del pdf ley de protección de datos)

PREGUNTAS DE OTROS SEMESTRES

El entorno de gobierno de COBIT debe asegurar:

a. Define los factores de gestión que deberías ser considerados por la empresa para crear un sistema
de gobierno más adecuado.
b. Las necesidades, condiciones y opciones de las partes interesadas se evalúan para determinar
objetivos empresariales equilibrados y acordados.
c. Pone la diferencia entre el gobierno y la gestión
d. Planifica, construye, ejecuta y monitorea.

RESPUESTA: Página 9 ¿Qué es cobit? Del archivo COBIT 2019 MARCO DE REFERENCIA

Seleccione los aspectos que debería auditar las acciones de liderazgo en un sistema de gestión de la
información

a. Proceso de creación de un plan para abordar riesgos y oportunidades consideradas las

expectativas de las partes interesadas en relación a la seguridad de la información
PLANIFICACIÓN
b. Establecimiento de un mecanismo de provisión de los recursos materiales y humanos necesarios
para el cumplimiento de los objetivos LIDERAZGO
c. Proceso donde se establezca las no conformidades y acciones correctivas como los
procedimientos documentados para identificar y registrar las no conformidades MEJORA
CONTINUA
d. Establecer mecanismo de control para validar si se encuentran identificados los objetivos del SGS
ORGANIZACIÓN
RESPUESTA: Cuestionario de la 27000 parte de liderazgo
Selecciones los aspectos que debería auditar las acciones de planificación en un sistema de gestión de la
información

a. Establecimiento de un mecanismo de provisión de recursos materiales y humanos necesarios para

el cumplimiento de los objetivos, creación de una política
b. Proceso donde se establezca las no conformidades y acciones correctivas, como los
procedimientos documentales
c. Proceso de creación de un plan para abordar riesgos y oportunidades considera las expectativas
de las partes interesadas en relación a la seguridad
d. Establecer mecanismos de control para validad si se encuentra identificadas los objetivos del SGS
RESPUESTA: Cuestionario de la 27000 parte de planificación.

Seleccione el rol encargado de alinear las TI y las estrategias de negocio

a. Ejecutivo de negocios
b. Jefe de arquitectura
c. Director General operativo
d. Director de sistemas de información

RESPUESTA: Director de TI.- Director de más alto rango que rinde cuentas sobre el alineamiento de las
TI y las estrategias del negocio y rinde cuentas por la planificación, gestión de recursos y prestación de
servicios y soluciones de I&T

Página 299. Apendice b. Del archivo COBIT 2019 MARCO DE REFERENCIA

¿Cuál de ellos siguientes se utiliza para definir los roles?

a. Matriz de funciones
b. Matriz de alineamiento al negocio
c. Matriz de metas empresariales
d. Matriz RACI.- Define las funciones y responsabilidades de cada individuo frente a las actividades
de un proceso.
RESPUESTA: pág 25 pdf itil ( creo que tambien puede ser la matriz de funciones ) no estoy segura

Selecciones 3 áreas claves de gobierno de COBIT

a. Evaluar, ejecutar y supervisar
b. Evaluar, planificar y supervisar
c. Evaluar, gestionar y supervisar
d. Evaluar, orientar y supervisar
RESPUESTA: pág 11 del libro de cobit

Que significa cada una de estas acciones

Servicios de directorio: se refiere a un tipo específico de herramienta que se utiliza para gestionar los
derechos de acceso de los usuarios. ITIL PAGINA 133
Servicios: Servicio: es un medio para entregar valor a los clientes facilitando
los resultados que se desea alcanzar, sin la responsabilidad
directa de los costos y los riesgos específicos.
Características:
• Intangibilidad;
• La demanda asociada a los activos del cliente;
• Perecedero. ITIL Pág 19
Identidad: se refiere a la información sobre el usuario, que lo distingue de los demás y muestra su
situación dentro de la organización. ITIL PAG 133
Privilegios: (rights): se refiere a la reglamentación definida que determina el acceso ofrecido al usuario
para un servicio o un grupo de servicios ITIL PAG 133

Cómo se logra los objetivos de gobierno de “Creación de Valor”

a) Todas las anteriores
b) Al optimizar el riesgo
c) Al conseguir los beneficios
d) Al optimizar los recursos
RESPUESTA ITIL PAG 43

¿Definido por COBIT, quien es el responsable por el gobierno de TI? (Seleccione una)
a) Clientes y proveedores
b) Gestores y líderes de TI
c) Inversionistas y accionistas
d) Ejecutivos y directivos

Seleccione cuales son incidentes graves:

a) Se ejecutan en una fecha especifica
b) Medio nivel de impacto sobre el negocio
c) Son planificados
d) Tienen mecanismo de priorización
e) Se ejecutan con plazos cortos y mayor nivel de urgencia
f) Alto impacto sobre el negocio
g) Se ejecutan con plazos más largo pero precisos
ITIL PAGINA 124

RESPUESTA: Incidentes graves (major incidents): los incidentes graves tienen un alto impacto sobre el
negocio. Requieren un procedimiento distinto, con plazos más cortos y mayor nivel de urgencia.
Una definición de lo que constituye un incidente grave debe ser acordada y mapeada en el mecanismo
de priorización de incidentes.

Las categorías de los eventos son:

a) Eventos de excepción: Más de 3000 usuarios conectados de forma simultánea en una misma
aplicación
b) Eventos de alerta: Aumento de consumo de memoria al 75% por encima de lo planificado en
los últimos 15 minutos.
c) Eventos informativos: Trabajo en cola completado con éxito.
PAGINA 120 Y 121 ITIL

Una según corresponda los elementos anotados:

 Nivel 0: No hay reconocimiento de la necesidad de control o requisito
 Nivel 1: Se aplica para algún problema o tarea específica no generalizable
 Nivel 2: Los controles existen, pero no están documentados.
 Nivel 3: Los controles están en su lugar y están documentados adecuadamente
 Nivel 4: Existe un control interno sobre la aplicación de controles y cumplimiento de requisito
 Nivel 5: Existe un control interno y continúo sobre la aplicación de controles y cumplimiento de
requisitos

Opciones

 Existe un control interno y continúo sobre la aplicación de controles y cumplimiento de requisitos

 Se aplica para algún problema o tarea específica no generalizable
 Existe un control interno sobre la aplicación de controles y cumplimiento de requisito
 Los controles están en su lugar y están documentados adecuadamente
 No hay reconocimiento de la necesidad de control o requisito
 Los controles existen, pero no están documentados.

PRACTICO:
La empresa “LA ESPERANZA” ha detectado una desorganización, ha detectado un problema en los
accesos que se registran a sus sistemas de información, y no está segura de que TI realizar los respaldos
correctamente, usted es parte del equipo de auditoría interna y le solicitan realizar una auditoría de control
a los procesos de entrega de clases, respaldos y procesos asociados. Alcance
Favor realizar un plan de auditora, el programa de auditoria y los papeles de trabajo correspondientes.
Itil
Desorganización (410-02)
Problemas en el acceso a sus sistemas (27000)
No está seguro TI que hay respaldos (27000)

PLANIFICACIÓN ORIGEN DE LA AUDITORIA

Porque, el motivo, reunión de junta ejecutivos o
requerimientos, el área de ti requerimiento.
ESTÁNDAR
De acuerdo a la norma
OBJETIVO GENERAL
(Evaluar, examinar) estándar
OBJETIVO ESPECIFICOS
Leer los estándares, actividades lo que se va hacer
ALCANCE
control a los procesos de entrega de claves,
respaldos y procesos asociados.
CRONOGRAMA
La etapa y el tiempo, sencillo
GRUPO AUDITOR
RESPONSABILIDADES DEL GRUPO
AUDITOR
PLAN DE AUDITORIA
La etapa y las actividades diagrama de Gantt
EJECUCIÓN PROGRAMA DE AUDITORIA
Por cada estándar
PAPELES DE TRABAJO
De acuerdo al problema y qué harías
 Acorde a los hallazgos
Acceso a cada usuario
RESULTADOS INFORME
Hallazgos

El gobierno corporativo es el conjunto de normas, principios y procedimientos que regulan la estructura y el

funcionamiento de los órganos de gobierno de una empresa. En concreto, establece las relaciones entre la junta
directiva, el consejo de administración, los accionistas y el resto de partes interesadas, y estipula las reglas por las
que se rige el proceso de toma de decisiones sobre la compañía para la generación de valor.