ANTES DE COMENZAR A REALIZAR LA PRUEBA DEBE LEER LAS. SIGUIENTES NORMAS (Solamente debe entregar al tribunal, una hoja de lectura éptica con sus datos y respuestas) Material: NINGUNO IMPORTANTE Si encuentra alguna anomalia en el enunciado, indique ésta en el reverso de la hoja de lectura éptica (0 si fuera estrictamente necesario en una hoja adjunta) y argumente la solucién adoptada al efecto. Estos comentarios seran de gran importancia ante posibles reclamaciones en la revision de exémenes. Sdlo el Equipo Docente podré anular preguntas del examen. 1. Debera entregar UNICAMENTE la hoja de lectura éptica con sus datos y respuestas. 2. La prueba consta de un test de 20 preguntas a contestar en una hoja de lectura Optica durante un tiempo maximo de 2 horas. Lea atentamente las instrucciones que figuran en la hoja de lectura éptica 3. Para superar la prueba se deberd obtener una puntuacién minima de 5 puntos. En cada pregunta del test se proponen cuatro respuestas de las cuales sdlo una es correcta. Unicamente puntuarén las preguntas: contestadas. Si la respuesta es correcta la puntuacién sera de 0,5 puntos y sies incorrecta restaré 0,25 puntos. PREGUNTAS 1. gQué es el Informe de Auditoria?: a) Es el producto final del trabajo de auditoria y es parte de la documentacién que llega a la persona que lo ha encargado b) Es el producto final del trabajo de auditoria y la unica documentacion que llega a la persona que lo ha encargado c) Es la especificacién inicial de la auditoria que va a llevarse a cabo y la Unica documentacién recibida por parte de la persona que lo ha encargado 4) Es la especificacién inicial de la auditoria que va a llevarse a cabo y la Unica documentacién proporcionada por la persona que lo ha encargado 2. eCual de las siguientes caracteristicas es propia de! Control interno, pero no de la Auditoria informatica’ a) Sdlo puede intervenir personal interno cuando se realiza el Control interno b) El Control interno se lleva a cabo con menor frecuencia que una Auditoria informatica, independientemente de la tecnologia a controlar o auditar ©) Se informa a la direccién general de la Organizacién 4) Todas las otras opciones son ciertas,3. Elige la respuesta correcta con respecto a la principal diferencia entre Auditoria informatica y Consultoria informatica: a) Ambos basan sus conclusiones solo en el analisis de datos b) Respecto al momento temporal de actuacién, ambas son siempre a priori c) La Consultoria son un conjunto de consejos 0 asesoria que se basa en una opinién del consultor, mientras que la Auditoria lo hace baséndose més en la experiencia profesional del auditor 4) Todas las otras opciones son ciertas 4. aCuadles son las partes que intervienen en un contrato de auditoria?: a) La entidad auditada b) El auditor informatico c) Las terceras personas 4) Todas las otras opciones son correctas 5. Una vulnerabilidad en un sistema informatico dentro de la organizacién es...: a) ... la(s) persona(s) 0 cosa(s) vista como posible fuente de peligro o catastrofe b) ... la situacion creada por la falta de uno o varios controles, con la amenaza que pudiera aparecer, y asi afectar al entorno informatio c) ... la probabilidad de que se produzca una amenaza debido a la existencia de una vulnerabilidad @) ... la evaluacién del efecto del riesgo 6. Qué distingue el articulo 3 de la LFE?: a) Las novedades que incluye la firma electrénica b) Los temas relacionados con el DNI electrénico, c) Los temas relacionados con el correo electrénico 4) Las clases de firma electrénica 7. Elije la correcta con respecto al Plan del Auditor Informatico: a) Nunca se evalua el nivel de exposicién de la entidad, por lo que no se podran proponer medidas detectivas y paliativas, b) Comparte la mayor parte de sus funcionalidades con respecto al control Informatico c) Es su funcidn, entre otras, la de seguir las medidas correctivas implantadas ante los resultados de auditorias anteriores 4) La evaluacién de riesgo siempre se hace de forma cuantitativa (asignandole una cifra o un porcentaje)8. En relacién con las metodologias cuantitativas para el anélisis de riesgos, 2Cudl de las siguientes opciones es correcta?: a) Cuantifican los riesgos mediante un valor a partir de unos coeficientes b) Se basan en la experiencia del auditor y parémetros mas subjetivos c) Pueden estar basados en métodos estadisticos y ldgica borrosa 4) Todas las otras opciones son correctas 9. eCual de las siguientes opciones es transversal en relacion con el ciclo de vida de una base de datos? Entiéndase “transversal” como una caracteristica que influye directamente en el resto de fases del ciclo de vida de una base de datos: a) Estudio previo y Plan de trabajo b) Concepcién de la base de datos y Seleccién de equipo c) Formacién del equipo de trabajo y Generacién de documentacién 4) Diserio y Carga 10. .Qué experto/s debe/n formar parte de un equipo que va a realizar una Auditoria fisica de unas instalaciones de TI?: a) Debe existir un experto (0 expertos) implicados en las diferentes ramas implicadas en los controles de la seguridad fisica b) El responsable de la Organizacién c) El responsable del departamento de auditoria ) El auditor, sin la colaboracién de expertos implicados en las diferentes ramas implicadas en los controles de la seguridad fisica 11.zCuales son las principales normas y estandares relacionadas con la Auditoria de seguridad fisica?: a) COBIT b) 1$0 27001 c) CSCN ) Todas las otras respuestas son ciertas 12.En relacion con las DMZ dentro de una Orga siguientes opciones es correcta?: acion, 4Cual de las a) Es una red externa, privada y segura, que comparten varias empresas b) Es una red externa, publica y no segura c) Es una redlocal que se ubica entre la red interna de una Organizacién y una red externa 4) Todas las otras opciones son ciertas 13. 4Cual de los siguientes elementos es auditable dentro de la Auditoria de base de datos?: a) El equipo de trabajo b) Diccionarios de datosc) La red de interconexién de la Organizacién 4) Todas las otras opciones son incorrectas 14. 4Cual de las siguientes opciones es una caracteristica del ISO 14598 en cuanto a la Auditoria de calidad de las aplicaciones?: a) Ofrece una vision del proceso de evaluacién del software b) No utiliza métricas de calidad c) Este estandar no existe d) Este estandar se corresponde con la Auditoria de seguridad, en lugar de calidad de las aplicaciones 15.zQué elemento, ademas de los analizados en aplicaciones de desarrollo interno, debe ser especialmente auditado cuando la aplicacién software es de produccién y mantenimiento externo?: a) Densidad de sentencias IF b) Adecuacién a la AENOR 27122 c) Auditoria especifica del contrato de Outsourcing d) Realizacién de informes previos de auditoria 16. 2En la version 3 de ITIL, Cual es el propésito de la Fase de Transicion a) Se encarga de definir qué servicios se prestardn, los clientes y los mercados involucrados b) Se encarga de la puesta en operacidn de los servicios previamente disefiados c) Es responsable de desarrollar nuevos servicios 0 modificar los ya existentes, asegurando que cumplen los requisitos de los clientes y se adecuan a la estrategia definida 4) Es responsable de todas las tareas operativas y de mantenimiento del servicio, incluida la atencién al cliente 17.En relacion con el Centro de Servicios, Service Desk, que es punto de referencia para los usuarios y servicio en el modelo ITIL v3, .Cual de las siguientes afirmaciones es cierta?: a) Sdlo puede estar centralizado en una unica ubicacién b) Puede estar externalizado de manera total o parcial c) Unicamente centraliza las llamadas de clientes y las redirige donde corresponda d) Nunca monitoriza ni supervisa los SLAs 18. gQué es el UC en el modelo ITIL v3?: a) Peticiones de cambio b) Planes (0 programas) de Calidad del Servicio c) Acuerdo de Nivel de Servicios d) Acuerdos de Nivel de Operacion19. Dentro de la Gestién de Problemas con el modelo ITIL v3, Cual de las siguientes opciones es correcta en cuanto al concepto de Error Conocido?: a) Causa subyacente, atin no identificada, de una serie de incidentes o un incidente aislado de importancia significativa b) Un problema se transforma en un error conocido cuando se han determinado sus causas c) Es propio de una filosofia reactiva 4) Todas las otras opciones son correctas 20.zComo puede definirse la confidencialidad cuando hablamos de la Gestion de la Seguridad de la Informacion?: a) La informacién debe ser sdlo accesible a sus destinatarios predeterminados b) La informacién debe ser correcta y completa c) Debemos de tener acceso a la informacion cuando la necesitamos 4) Todas las otras respuestas son correctas