Cisa Q&a1

Certified Information
SystemsJ Auditor@
,
An ISACA" Certification
~C:.s3A Ii1rorm~non
Ccrtlfled AUt/llOr'
Sys\em~
~~~
ISACA®
Con más de 100.000 miembros en 180 países, ISACA (www.isaca.org) es un líder mundialmente reconocido, proveedor de conocimiento, certificaciones,
comunidad, apoyo y educación en seguridad y aseguramiento de sistemas de información (SI), gobierno empresarial, administración de TI así como
riesgos y cumplimiento relacionados con TI. Fundada en 1969, la no lucrativa e independiente ISACA organiza conferencias internacionales, publica
el ISACA® Journal, y desarrolla estándares internacionales de auditoría y control de sistemas de información que ayudan a sus miembros a garantizar
la confianza y el valor de los sistemas de información. Asimismo, certifica los avances y habilidades de los conocimientos de TI a través de las
designaciones de la mundialmente respetada Certified Information Systems Audito~ (Auditor Certificado en Sistemas de Información) (CISA®), el
Certified Information Security Manage~ (Gerente Certificado de Seguridad de la Información) (CISM®), Certified in the Governance ofEnterprise
I'f® (Certificado en Gobierno de Tecnologías de la Información Empresarial) (CGEI'f®) y el Certified in Risk and Information Systems ControFM
(Certificado en Riesgo y Control de Sistemas de Información) (CRISCTM).
ISACA actualiza continuamente y extiende la orientación práctica y la familia de productos basados en el marco de trabajo COBI'f®. COBI'f® ayuda a
los profesionales y líderes empresariales de TI a cumplir con sus responsabilidades de gobierno y gestión, particularmente en las áreas de aseguramiento,
seguridad, riesgo y control, para agregar valor al negocio.
Cláusula de exención de responsabilidad

ISACA ha diseñado y creado el Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA® Suplemento 2013 principalmente
como un recurso educativo para ayudar a las personas a prepararse para tomar el examen de certificación CISA. Este documento se produjo
independientemente del Examen CISA y del Comité de Certificación CISA, quien no ha tenido responsabilidad por su contenido. Las copias de los
exámenes anteriores no están a disposición al público y no fueron puestas a disposición de ISACA para la preparación de esta publicación. ISACA no
declara ni avala en absoluto, con respecto a estas u otras publicaciones de ISACA, que se garantiza a los candidatos la aprobación del examen CISA.
Reserva de derechos
© 2012 ISACA. Todos los derechos reservados. Ninguna parte de esta publicación puede ser usada, copiada, reproducida, modificada, distribuida,
expuesta, almacenada en un sistema de recuperación o transmitida en cualquier forma o por cualquier medio (electrónico, mecánico, fotocopia, grabación
u otros), sin la previa autorización por escrito de ISACA.
ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, Illinois 60008 EE.UU.
Teléfono: +1.847.253.1545
Fax: +1.847.253.1443
Correo electrónico: info@isaca.org
Página web: www.isaca.org
Participe en el Centro de Conocimiento de ISACA (ISACA Knowledge Center): www.isaca.org/knowledge-center

Siga a ISACA en Twitter: https://twitter.com/1SACANews
Únase a ISACA en Linkedln: 1SACA (Oficial), http://linkd.in/ISACAOfficial
Indique que le gusta ISACA en Facebook: wwwfacebook.com/ISACAHQ
ISBN 978-1-60420-316-5
Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA® Suplemento 2013
Impreso en los Estados Unidos de América
CR1SC es una marca comercial/marca de servicio de lSACA. La marca se ha utilizado o registrado en países en todo el mundo.
ii Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA Suplemento 2013

lSACA. Todos los derechos reservados.
e-- System~AUdItOr'
ArlIUCA'cm ,1k;¡11orl
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ __ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ __
~~
PREFACIO
ISACA se complace en ofrecer las 100 preguntas que contiene el Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA
Suplemento 2013. El propósito de este suplemento es proporcionar al candidato CISA preguntas de ejemplo y temas sobre la prueba para ayudarle a
prepararse y estudiar para el examen CISA.
El material de este manual consta de preguntas de selección múltiple organizadas de acuerdo con la nueva práctica laboral CISA. Estas preguntas,
respuestas y explicaciones están diseñadas para introducir a los candidatos de CISA a los tipos de preguntas que aparecen en el examen de CISA. No
se trata de preguntas reales del examen. El candidato también puede obtener una copia del Manual de Preparación al Examen CISA@ 2013, que ofrece
los conocimientos básicos de CISA, y el Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA 2013, que consta de 950
preguntas, respuestas y explicaciones de selección múltiple. Las preguntas en este Suplemento también están disponibles en formato electrónico en la
Base de Datos de Preguntas de Práctica vl3 CISN" junto con las 950 preguntas del Manual de Preguntas, Respuestas y Explicaciones de Preparación al
Examen CISA 2013. Por último, el candidato también puede utilizar el Curso en Línea de Preparación al Examen CISA'lil (www.isaca.orglelearning), un
curso interactivo autodidacta, basado en la web, que se alinea con el material en el Manual de Preparación al Examen CISA@.
ISACA le desea éxito en el examen CISA. Su dedicación para alcanzar la certificación líder para los profesionales de auditoría, aseguramiento, seguridad
y control de sistemas de información (SI) es ejemplar y, por esta razón, damos la bienvenida a sus comentarios y sugerencias sobre el uso y la cobertura
de este manual. Una vez que haya completado el examen, dedique unos momentos a completar la evaluación en línea que corresponde a esta publicación
(www.isaca.orglstudyaidsevaluation). Sus observaciones serán valiosas cuando se preparan nuevas preguntas, respuestas y explicaciones.
Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA Suplemento 2013 iii
ISACA. Todos los derechos reservados.
RECONOCIMIENTOS EC:3 1S A CertifJed Informatlon
Systems,
,
Auditor'
AnWoCA°Ctl1HItlIIaII
RECONOCIMIENTOS
Este Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen ClSA® Suplemento 2013 es el resultado de los esfuerzos colectivos de
muchos voluntarios. Participaron miembros de ISACA de todo el mundo, ofreciendo generosamente su talento y experiencia. Este equipo internacional
mostró un espíritu y desprendimiento que se han convertido en la marca de los contribuyentes de este valioso manual. Su participación y sus opiniones
son verdaderamente apreciadas.
Equipo de Aseguramiento de la calidad de CISA

Robert G. Morella, CISA, CGEIT, CISSp, FHLBankAtlanta, EE. DU.
John Pouey, CISA, CISM, CRISC, Fidelity Homestead Savings Bank, EE. DU.
Anup Singh, CISSp, ManpowerGroup, EE. DU.
Mario Urena, ClSA, ClSM, CGElT, Secure lnformation Technologies, México
ISACA también desea agradecer el trabajo del equipo voluntario que efectuó una revisión a la calidad de la traducción de este material, los profesionales:
Maria Patricia Prandini, ClSA, CRISC, Argentina

Hernán Aguilar, ClSA, Costa Rica
Amoldo Altamirano, ClSA, Costa Rica
Marco Gámez, ClSA, CRISC, Costa Rica
Luis Diego León, CISA, Costa Rica
Pablo Fernández, CISA, CRISC, Costa Rica
iv Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA Suplemento 2013

~C:IS3A CortHIod•• InrorfTIIIlloo
SY6tem AU!lJtor· TABLA
_ _ __ _ _ _ _ _ _ _ _ _ _ _ _ _ _ __ _ _ _ _ _ __ DE_
CONTENIDO
_ __
~.I~"'tl1t:1U...
TABLA DE CONTENIDO
PREFACIO ................................................................................................................................................................................................................................. iii
RECONOCIMIENTOS ............................................................................................................................................................................................................. iv
INTRODUCCIÓN ............................................................................................................... ,.................................................................................................... vii

GENERALIDADES ........................................................................................................................................................................................................ vii
TIPOS DE PREGUNTAS DEL EXAMEN CISA ......................................................................................................................................................... vii
PRUEBA PRELIMINARix
PREGUNTAS, RESPUESTAS Y EXPLICACIONES POR DOMINIO ............................................................................................................................ 1

DOMINIO l-PROCESO DE AUDITORÍA DE SISTEMAS DE INFORMACIÓN (14%) ....................................................................................... 1
DOMINIO 2--GOBIERNO y GESTIÓN DE TI (14%) ................................................................................................................................................ 9
DOMINIO 3-ADQUISICIÓN, DESARROLLO E IMPLEMENTACIÓN DE SISTEMAS DE INFORMACIÓN (19%).................................... 15
DOMINIO 4-OPERACIONES, MANTENIMIENTO y SOPORTE DE SISTEMAS DE INFORMACIÓN (23%) ............................................. 25
DOMINIO S-PROTECCIÓN DE LOS ACTIVOS DE INFORMACIÓN (30%) .................................................................................................... .37
PRUEBA POSTERIOR ........................................................................................................................................................................................................... 51
EJEMPLO DE EXAMEN........................................................................................................................................................................................................ 53
CLAVE DE RESPUESTAS Y REFERENCIAS DEL EJEMPLO DE EXAMEN .......................................................................................................... 69
HOJA DE RESPUESTAS DEL EJEMPLO DE EXAMEN (PRUEBA PRELIMINAR) .............................................................................................. 71
HOJA DE RESPUESTAS DEL EJEMPLO DE EXAMEN (PRUEBA POSTERIOR) ................................................................................................. 73
EVALUACIÓN ................................................................. M .... . . . . . . . . . . . . . . . . . . . . . . .. . . ...... . . . . . . . . . . ... .. . . . . .. . . . . . . . . . . . . . . . . . . . . ... . ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . 75
PREPÁRESE PARA LOS EXÁMENES CISA 2013 .................................. ,..................................................................................................".................... 76
Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA Suplemento 2013 v

ISACA. Todos 101 derechos reservados.
~C=ls3 M CertHIed
Systems, InformaDon
Auditor'
MISACA"cJN' "
Esta página se dejó intencionalmente en blanco
vi Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA Suplemento 2013

ISACA, Todos 101 derechos relervado"
e-- System~Auditor'
~o ISACA'Cf!'111\e1J1a.1
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ __
~~
INTRODUCCiÓN
GENERALIDADES
Este manual consta de 100 preguntas de opción múltiple (multiple-choice), respuestas y explicaciones. Estas preguntas se ofrecen en dos formatos.
Preguntas Ordenadas por Dominio

Las preguntas, respuestas y explicaciones se presentan (ordenadas) por dominio y contienen un número de ítems equivalente a los porcentajes indicados
en la nueva práctica de trabajo CISA:
El proceso de auditoría de sistemas de información ..................................................... ,...................................... 14 por ciento
Gobierno y gestión de TI ...................................................................................................................... ................ 14 por ciento
Adquisición, desarrollo e implementación de sistemas de información ............................................................. 19 por ciento
Operaciones, mantenimiento y soporte de sistemas de información ....................................................... ,.......... 23 por ciento
Protección de los Activos de Información ............................................................................................................ 30 por ciento
Aunque las preguntas de esta publicación no son preguntas reales del examen CISA, se espera que provean al candidato CISA una mayor comprensión
del tipo y estructura de las preguntas y temas que han aparecido anteriormente en el examen.
Ejemplo de Examen
Las preguntas han sido ordenadas aleatoriamente y se presentan en fonna de ejemplo de examen. Se exhorta a los candidatos a utilizar este ejemplo de
examen y las hojas de respuestas proporcionadas en esta publicación para simular un examen real. Muchos candidatos utilizan este ejemplo de examen
como una prueba preliminar para determinar sus fortalezas o debilidades específicas, o como un examen final. Las hojas de respuestas del ejemplo
de examen se proporcionan para ambos usos. Adicionalmente, se incluye un ejemplo de respuestas/referencias clave del examen. Se ha creado una
referencia cruzada entre el examen de ejemplo las preguntas, respuestas y explicaciones por cada área, de modo que es fácil referirse a las explicaciones
de las respuestas correctas. Esta publicación es ideal para usarse junto con el Manual de Preparación al Examen ClSA® 2013; el Manual de Preguntas,
Respuestas y Explicaciones de Preparación al Examen CISA 2013; y la Base de datos de Preguntas de Práctica vl3 CISA®.
Cabe señalar que el Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen ClSA '~ Suplemento 2013 se desarrolló para ayudar
al candidato a CISA a estudiar y prepararse para el examen CISA. Cuando utilice esta publicación para prepararse para el examen, por favor tenga en
cuenta que la misma cubre un amplio espectro de temas sobre auditoría a los sistemas de Información (SI), aseguramiento, control y seguridad. No
presuponga que el hecho de leer y trabajar con las preguntas de este suplemento le permitirá estar completamente preparado para el examen. En vista
de que las preguntas del examen frecuentemente se refieren a la experiencia práctica, se recomienda a los candidatos a CISA referirse a su propia
experiencia y a otras publicaciones mencionadas en el Manual de Preparación al Examen CISA® 2013. Estas referencias adicionales constituyen un
excelente material para obtener más información detallada y explicaciones. Se sugiere a los candidatos que evalúen las áreas en las que se sientan débiles
o en las que requieran más entendimiento y estudien en consecuencia.
Además, tenga en cuenta que esta publicación se escribió utilizando el inglés estándar de los Estados Unidos.
TIPOS DE PREGUNTAS DEL EXAMEN CISA
Las preguntas del examen CISA se desarrollan con el fin de medir y evaluar conocimiento práctico y la aplicación de estándares y conceptos generales.
Como se mencionó anteriormente, todas las preguntas son de selección múltiple y se debe escoger la mejor respuesta.
Se advierte al candidato que debe leer cada pregunta cuidadosamente. Muchas veces una pregunta de examen de CISA requerirá que el candidato escoja
la respuesta apropiada que sea MÁS probable o MEJOR. Otras veces puede pedir al candidato que elija la práctica o el procedimiento que se ejecutará
PRIMERO en relación con otras opciones. En cada caso, el candidato debe leer la pregunta cuidadosamente, eliminar las respuestas que sean claramente
incorrectas y, luego, hacer la mejor elección posible. El conocimiento de los tipos de preguntas formuladas en el examen y la manera de estudiar para
responderlas correctamente ayudarán al candidato a CISA a prepararse satisfactoriamente para el examen CISA.
Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen C/SA Suplemento 2013 vii
INTRODUCCiÓN ~C~IS,A Certllled
Systems, Inlormation
Auditor'
i
AnJ$ACA'ClrtJI IcIIIoll
Todas las preguntas del examen CISA plantean un problema (pregunta) y cuatro opciones (opciones de respuesta). Se pide al candidato que elija la
respuesta correcta o la mejor respuesta entre las opciones. El problema se puede formular como una pregunta o como un enunciado incompleto. En
algunos casos, también puede incluirse un escenario o una descripción del problema. Estas preguntas normalmente incluyen la descripción de una
situación y requieren que el candidato responda dos o más preguntas basándose en la información suministrada.
Otra condición que debe considerar el candidato a CISA durante su preparación para el examen es reconocer que la auditarla y el control de SI
constituyen una profesión global, y que las percepciones y experiencias individuales pudieran no reflejar la posición o circunstancia más global. En vista
de que el examen y los manuales de CISA se redactan para la comunidad internacional de auditarla y control de SI, el candidato deberá tener una actitud
relativamente flexible cuando lea una condición de auditarla o control que pueda ser contraria a su experiencia. Se debe tener en cuenta que las preguntas
del examen CISA son formuladas por experimentados expertos en auditarla de SI de todo el mundo. Cada pregunta del examen es revisada por el
Subcomité de Mejora del Examen CISA de ISACA y el Comité de Certificación CISA de ISACA, que está confornlados por miembros internacionales.
Esta representación geográfica garantiza que todas las preguntas del examen sean entendidas de la misma manera en todos los partes y en todos los
idiomas.
Nota: Los manuales de preparación de ISACA son documentos vivos. A medida que la tecnología avance, los manuales de ISACA se
actualizarán para que reflejen tales adelantos. Las nuevas actualizaciones de este documento antes de la fecha del examen se pueden ver en
www.isaca.org/sludyaidupdates.
Las sugerencias para mejorar los materiales aquí cubiertos, o sobre los materiales de referencia, deberán enviarse en línea a
www.isaca.org/sludyaidsevalualion.
!
~.
viii Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA Suplemento 2013
~C~IS, Certifled Information
.... Systems, Auditor'
PRUEBA PRELIMINAR
AnI!W:A·eeJlnCllloo - - - - - - - - - - - - - - - - - - - - - - - - - - - --
PRUEBA PRELIMINAR
Si desea realizar una prueba preliminar para determinar sus
fortalezas o debilidades, el Ejemplo de examen comienza en
la página 53 y la hoja de respuestas de la prueba preliminar
comienza en la página 71. Puede calificar su prueba preliminar
con la Clave de Respuestas y Referencias del Ejemplo de
Examen en la página 69.
Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen C/SA Suplemento 2013 ix

~C:IS,A CBrttffed InformaUon
SysIems ,Auditor'
Esta página se dejó Intencionalmente en blanco
x Manual de Pregunta., Respuestas y Explicaciones de Preparación al Examen CISA Suplemento 2013

ISACA. Todo8 108 derecho. reservados.
EC~IS, certilicd Inlormallon
M 8j518"'5. Audllar' DOMINIO 1-PROCESO DE AUDITORíA DE SISTEMAS DE INFORMACiÓN
... 1KAt'..... (o(rjf~ - - -- - - -- - - - -- - - - - - - - - - - - - - - - - -- - -- - - - -
PREGUNTAS, RESPUESTAS V EXPLICACIONES POR DOMINIO
DOMINIO 1-PROCESO DE AUDITORíA DE SISTEMAS DE INFORMACiÓN (14%)
ASt-t ¿Cuál de los siguientes es el PRIMER paso a realizar antes de la creación de una clasificación de riesgo para el plan anual de auditoría SI?
A. Priorizar el riesgo identificado.

B. Definir el universo de auditoria.
C. Identificar los controles críticos.
D. Determinar el método de prueba.
B es la respuesta correcta.
Justificación:
A. Una vez definido el universo de las auditorías, el auditor puede priorizar los riesgos en función de su impacto global en las diferentes áreas
operativas de la organización incluí das en el universo de auditoría.
B. En un enfoque de auditoría basado en riesgos, el auditor identifica el riesgo para la organización basado en la naturaleza del negocio.
Los tipos de riesgo se deben clasificar con el fin de planificar un ciclo anual de auditoría. Para clasificar los tipos de riesgo, el auditor
debe primero definir el universo de las auditorías teniendo en cuenta el plan estratégico de TI, la estructura organizacional y la matriz de
autorizaciones.
C. Los controles que ayudan a mitigar las áreas de alto riesgo son, en general, los controles críticos, y su efectividad proporciona seguridad en la
mitigación del riesgo. Sin embargo, esto no se puede hacer a menos que los tipos de riesgo se clasifiquen.
D. El enfoque de las pruebas se basa en la clasificación del riesgo.
ASt-2 ¿Cuál de los siguientes es la consideración MÁs importante antes de emitir un informe de auditoría?
A. Suficiencia de las pruebas para respaldar las conclusiones sobre los controles
B. Discusión del borrador del informe con la gerencia del auditado
C. Lista de las partes interesadas para la distribución de informes
D. Determinación de si se debe excluir los resultados que tienen un menor impacto en la organización
A es la respuesta correcta.
Justificación:
A. El informe de auditoría contiene los resultados de la auditoría. El contenido y la estructura del informe se definen de acuerdo al tipo de
auditoría. El auditor debe asegurarse de que se recogió suficiente evidencia antes de concluir sobre los resultados.
B. El auditor debe discutir el informe de proyecto con la gerencia del auditado. Durante los debates, el auditor puede necesitar proporcionar detalles de
la evidencia en las conclusiones.
C. El auditor debe distribuir el informe a las respectivas partes de acuerdo con el estatuto de auditoría y no con base en los intereses de las partes
interesadas.
D. Todos los resultados deben ser incluidos en el informe de auditoría.
Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA Suplemento 2013 1

ISACA. Todol los derechos reservados.
DOMINIO 1-PROCESO DE AUDITORíA DE SISTEMAS DE INFORMACiÓN ~C~ls3A· Certllled In!onnnlloll
SjslllfllS, Auditor'
MaJU'r.aL~
ASl-3 Un auditor de SI ha identificado un proceso de negocio a ser auditado. El auditor de SI debe A CONTINUACIÓN identificar:
A. los activos de información más valiosos.

B. los recursos de auditoría de SI que serán utilizados.
C. el personal de auditado a ser entrevistado.
D. los objetivos de control y las actividades.
D es la respuesta correcta.
Justificación:
A. Para determinar los activos de información clave a ser auditados, el auditor de SI debe determinar primero qué objetivos de control y principales
actividades de control deben ser validados. Solo los activos de información que están relacionados con los objetivos de control y las principales
actividades de control son relevantes para la determinación del alcance de la auditoría.
B. Solo después de determinar qué controles relacionados y activos de información relevantes se validarán, el auditor de SI puede decidir sobre los
recursos de auditoría de SI clave (con las habilidades pertinentes) que deben ser utilizados para la auditoría.
C. Solo después de determinar qué actividades clave de control se validarán, el auditor de SI puede identificar al personal de proceso relevante que
deberá ser entrevistado.
D. Una vez que el proceso de negocio es identificado, el auditor de SI debe primero identificar los objetivos de control y las actividades que
deben ser validados en la auditoría.
ASl-4 La práctica de auditoría MÁs efectiva para determinar si la efectividad operativa de los controles está correctamente aplicada al
procesamiento de transacciones es:
A. prueba de diseño de control.

B. prueba sustantiva.
C. inspección de documentación relevante.
D. distribución de un cuestionario.
Justificación:
A. Las pruebas de diseño de control evalúan si el control está estructurado para cumplir con un objetivo de control específico. No ayuda a determinar
si el control está funcionando efectivamente.
B. Entre otros métodos, como la revisión o verificación de documentos, las pruebas de los controles son el procedimiento más efectivo para
evaluar si los controles soportan con precisión la efectividad operativa.
C. Los documentos de control no siempre describen el estado actual de una manera precisa. Por lo tanto, los auditores que dependen de la revisión de
los documentos tienen una garantía limitada de que el control está funcionando según lo previsto.
D. Se puede utilizar un cuestionario en la fase inicial del análisis de control para proporcionar a los auditores una amplia comprensión del ambiente de
control en general.
2 Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen C/SA Suplemento 2013

~C:IS,A clII'\rrlCd
Syslem.,InlQnnollo"
Audllor' DOMINIO 1-PROCESO DE AUDITORíA DE SISTEMAS DE INFORMACiÓN
.lI'~iI:ID'Il
..,. .....
ASl-5 ¿El efecto de cuál de los siguientes debena tener prioridad en la planificación del alcance y los objetivos de una auditoría de SI?
A. Requisitos estatutarios aplicables

B. Nonnas corporativas aplicables
C. Mejores prácticas aplicables de la industria
D. Políticas y procedimientos de la organización
Justificación:
A. El efecto de los requisitos legales aplicables se debe tener en cuenta en la planificación de una auditoría de SI. El auditor de SI no tiene
opciones en este sentido, porque no puede haber ninguna limitación de alcance en lo que respecta a los requisitos legales.
B. Los requisitos legales siempre tienen prioridad sobre las nonnas corporativas.
C. Las mejores prácticas de la industria ayudan en la planificación de una auditoría; sin embargo, las mejores prácticas no son obligatorias y pueden
ser desviadas para cumplir con los objetivos organizacionales.
D. Las políticas y los procedimientos de la organización son importantes, pero los requisitos estatutarios siempre tienen prioridad.
ASl-6 Durante la auditoría externa, un auditor de SI descubre que los sistemas que están en el alcance de la auditoría fueron implementados por un
socio. En tal circunstancia, la gestión de auditoría de SI debe:
A. Quitar al auditor de SI de la participación.

B. cancelar la participación.
C. revelar el problema al cliente.
D. tomar medidas para restablecer la independencia del auditor de SI.
C es la respuesta correcta.
Justificación:
A. No es necesario retirar al auditor de SI, a menos que exista una limitación legal, como existe en algunos países.
B. No se requiere la cancelación de la participación.
C. En circunstancias en las que se altera la independencia del auditor de SI y el mismo auditor sigue estando asociado a la auditoría, los
hechos que rodean el problema de la independencia del auditor de SI deben ser revelados a la gerencia adecuada y en el informe,
D. Esta no es una solución viable.
ASl-7 Un auditor de SI tiene la intención de evaluar la efectividad del diseño de control relacionada con un proceso de facturación automatizado.
¿Cuál de los siguientes es el enfoque MÁS efectivo a adoptar por la auditoría?
A. Narrativa del proceso

B. Investigación
C. Repetición de ejecución
D. Recorrido (walk-through)
Justificación:
A. Las narrativas de proceso pueden no estar actualizadas o completas y pueden no reflejar el proceso real en funcionamiento.
B. Se puede utilizar la investigación para comprender los controles en un proceso solo si va acompañado de verificación de la evidencia.
C. La repetición de ejecución se utiliza para evaluar la efectividad de la operación del control en lugar del diseño del control.
D. Los recorridos (walk-throughs) incluyen una combinación de investigación e inspección de evidencias con respecto a los controles de
procesos de negocio. Esta es la base más efectiva para la evaluación del diseño del control, como existe actualmente.
Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen C/SA Suplemento 2013 3

DOMINIO 1-PROCESO DE AUDITORíA DE SISTEMAS DE INFORMACiÓN ~C~IS3 M Cermied
Systems, Information
Auditor'
i
An!SACA'CffiIlb.Uoo
ASl-8 ¿Cuál de las siguientes opciones describe MEJOR el propósito de realizar una evaluación del riesgo en la fase de planificación de una
auditoría de SI?
A. Establecer los requerimientos de personal necesarios para completar la auditoría de SI

B. Proporcionar una seguridad razonable de que todos los elementos materiales se abordarán
C. Determinar los conocimientos necesarios para realizar la auditoría de SI
D. Desarrollar el programa de auditoría y los procedimientos para llevar a cabo la auditoría de SI
Justificación:
A. Una evaluación de riesgos no influye directamente en las necesidades del personal,
B. Una evaluación de riesgos ayuda a enfocar los procedimientos de auditoria en las áreas de mayor riesgo incluidos en el alcance de la
auditoría. También es importante el concepto de seguridad razonable.
C. Una evaluación de riesgos no identifica los conocimientos necesarios para llevar a cabo una auditoría de SI.
D. Una evaluación de riesgos no resulta en el desarrollo del programa y los procedimientos de auditoría.
ASl-9 La comparación de los datos de una aplicación de cuentas por pagar con las facturas recibidas de los proveedores en el mes de diciembre se
describe MEJOR como:
A. pruebas sustantivas.
B. pruebas de cumplimiento.
C. análisis cualitativo.
D. muestreo basado en juicio.
Justificación:
A. Las pruebas sustantivas implican la obtención de evidencia de auditoría sobre la integridad, la exactitud o la existencia de datos a nivel de
transacción individual. Esto puede lograrse mediante la comparación de los datos en la aplicación al documento fuente. En este caso, la
comparación se hace con las facturas de los proveedores.
B. Las pruebas de cumplimiento consisten en probar los controles diseñados para obtener evidencia de auditoría tanto en la eficacia de los controles
como en su funcionamiento durante el período de la auditoría.
C. El análisis cualitativo se relaciona generalmente con el análisis de riesgo y no debe ser utilizado en este escenario.
D. El muestreo basado en juicio es una muestra que se selecciona subjetivamente o no al azar, o aquel en el cual los resultados del muestreo no se
evalúan matemáticamente.
4 Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA Suplemento 2013

e"",.,-"., system~Audltor'
An!SACA' Certln,,11cn
_ _ _ _ __ _ _ _ _ __ _DDMINIO
____ '-PROCESO DE AUDnoRiA
_ _ _ _ __ _ __ _OE SISTEMAS
__ ____ DE__
INFORMACIÓN
_ _ __
AS1-10 Los datos del libro mayor (GL) son necesarios para una auditoría. En lugar de pedirle a TI que extraiga los datos, el auditor de SI tiene acceso
directo a los mismos. ¿Cuál es la PRINCIPAL ventaja de este enfoque?
A. La reducción de horas de trabajo de TI para apoyar la auditoría

B. La reducción de la probabilidad de errores en el proceso de extracción
C. Mayor flexibilidad para el departamento de auditoría
D. Mayor garantía de validez de los datos
Justificación:
A. Mientras que la carga del personal de TI para apoyar la auditoría puede disminuir si el auditor de SI directamente extrae las fechas, esta ventaja no
es tan significativa como el incremento en la validez de los datos.
B. El riesgo de errores se incrementaría, porque los auditores de SI tienen generalmente un conocimiento técnico más amplio, pero menos detallado, de
la estructura interna de los datos y aspectos técnicos de las bases de datos.
C. Esta labor requiere de una precisa coordinación con los departamentos de bases de datos y de operaciones para evitar la interferencia con las
operaciones y asegurar la consistencia y la integridad de los datos.
D. Si el auditor de SI ejecuta la extracción de datos, hay una mayor garantía de que los criterios de extracción no interfieran con la integridad
requerida y por lo tanto, todos los datos necesarios serán obtenidos. Pedirle a TI que extraiga los datos puede suponer un riesgo de
filtración de excepciones que deberían ser vistas por el auditor. Además, si el auditor de SI recopila los datos, todas las referencias internas
asociadas a las distintas tablas/elementos de datos se entenderán, y este conocimiento puede revelar elementos vitales para la integridad y la
exactitud de la actividad de auditoría en general.
AS1-ll Un auditor de SI quiere determinar el número de órdenes de compra no debidamente aprobadas. ¿Cuál de las siguientes técnicas de muestreo
debe un auditor de SI usar para llegar a tales conclusiones?
A. Atributo
B. Variable
C. Parar o seguir
D. Juicio
Justificación:
A. El muestreo de atributos se utiliza para comprobar el cumplimiento de los controles por cada transacción. En este caso, la existencia de la
debida aprobación.
B. El muestreo de variables se usa en situaciones de pruebas sustantivas y trata con las características de la población que varían, tales como los valores
monetarios y el peso.
C. El muestreo parar o seguir se utiliza cuando la tasa de ocurrencia esperada es extremadamente baja.
D. El muestreo de juicio no es relevante aquí. Se refiere a un enfoque subjetivo para determinar el tamaño de la muestra y criterios de selección de
elementos de la muestra.

ISACA. Tod08 108 derechos reservados.
DOMINIO 1-PROCESO DE AUDITORíA DE SISTEMAS DE INFORMACiÓN ~C:ls3A' .,,,,,,,,;;L;;;;;;
Inro~nllon
Ccrtlljed i\udilor"
Sysloms
ASl-12 Un auditor de SI usa técnicas de auditoría asistidas por computadora (CAAT) para recopilar y analizar datos. ¿Cuál de los siguientes atributos
de la evidencia es el MÁs afectado por el uso de CAAT?
A. Utilidad
8. Confiabilidad
C. Relevancia
D. Adecuación
Justificación:
A. La utilidad de la evidencia de auditoría conseguida mediante CAAT está determinada por el objetivo de la auditoría, y el uso de CAAT no tiene un
impacto tan directo sobre la utilidad como lo tiene la fiabilidad.
B. Debido a que los datos son recopilados directamente por el auditor de SI, los resultados de la auditoría se pueden presentar con un énfasis
en la fiabilidad de los registros que se producen y mantienen en el sistema. La confiabilidad de la fuente de información usada reafirma los
resultados generados.
C. La relevancia de la evidencia de auditoría conseguida mediante CAAT está determinada por el objetivo de la auditoría, y el uso de CAAT no tiene
un impacto tan directo sobre la relevancia como en la fiabilidad.
D. La adecuación de la evidencia de auditoría realizada por CAAT está determinada por los procesos y el personal que crea los datos, y el uso de
CAAT no tiene ningún impacto sobre la competencia.
ASl-13 Una función de auditoria interna de SI está planeando una auditoría general de SI. ¿Cuál de las siguientes actividades se lleva a cabo durante
el PRIMER paso de la etapa de planificación?
A. Desarrollo de un programa de auditoría

8. Revisión del estatuto de auditoría
C. Identificación de los propietarios de la información clave
D. Ejecución de una evaluación de riesgos
Justificación:
A. Los resultados de la evaluación de riesgos se utilizan para contribuir con el programa de auditoría.
8. El estatuto de auditoría se elabora cuando el departamento de auditoría se establece o a medida que las actualizaciones son necesarias. La creación
del estatuto de auditoría no está relacionada con la etapa de planificación de la auditoría, ya que es parte de la estructura de gobierno de la auditoría
interna que proporciona la independencia para la función.
C. Se debe realizar una evaluación de riesgos antes de identificar los propietarios principales de la información. Los propietarios principales de la
información, por lo general, no participan directamente en el proceso de planificación de una auditoría.
D. Se debe realizar una evaluación de riesgos para determinar cómo se deben asignar los recursos internos de auditoría para asegurar que
todos los elementos materiales se abordarán.

~C:IS, CertHied Inlormatlon
M Systems, Auditor' DOMINIO 1-PROCESO DE AUDITORíA DE SISTEMAS DE INFORMACiÓN
AtlSAcA·cert llClnOtl - -- - - - - - - - - - - -- - - - - - - - - - - - -- - - - - - - - - - -
ASl-14 ¿Cuál de las siguientes es la habilidad MÁS importante que un auditor de SI debe desarrollar para comprender las limitaciones de la
realización de una auditoría?
A. Planificación de contingencia
B. Asignación de recursos de gestión de SI
C. Gestión de proyectos
D. Conocimiento de los controles internos
e es la respuesta correcta.
Justificación:
A. La planificación de contingencia se asocia a menudo con las operaciones de la organización. Los auditores de SI deben tener conocimiento de las
técnicas de planificación de contingencia.
B. Los gerentes de SI son responsables de la gestión de los recursos de sus departamentos. Los auditores de SI no gestionan los recursos de SI.
C. Las auditorías a menudo implican la gestión de recursos y plazos de entrega similares a las mejores prácticas de gestión de proyectos.
D. El conocimiento de los controles internos es fundamental para los auditores de SI. La competencia profesional es un estándar de auditoría.

Esta página se deJó intencionalmente en blanco
e el54
Certlfted InformalJon
System~ Auditor'
AnISM:A'CtrtlllRollon

ISACA, Todos lo. derechos r8lervadol,
e " " . ,. .,
system~Audltor'
A" IIIA':A'eert • • oo
_ _ _ _ _ _ _ _ __ _ _ _ _ _ _ _ _ __ _ _ _ _DOMINIO
____ .-GOBIERNOY
______ GESTIÓN
_ _ _DElI
__
DOMINIO 2-GOBIERNOY GESTiÓN DETI (14%)
AS2-1 Un auditor de SI está realizando una revisión de un modelo de gobierno de la organización. ¿Cuál de las siguientes debería ser de MÁS
preocupación para el auditor?
A. La política de seguridad de información no es periódicamente revisada por la alta gerencia.

B. No existe una política para garantizar que los sistemas sean revisados en el momento oportuno.
C. El comité de auditoría no revisó la declaración de misión global.
D. No existe una política organizacional relacionada con la protección contra software malintencionado (malware).
Justificación:
A. Las políticas de seguridad de datos deben ser revisadas/actualizadas una vez por año para reflejar los cambios en el entorno de la
organización. Las políticas son fundamentales para la estructura de gobierno de la organización, y por lo tanto, esta es la mayor
preocupación.
B. Si bien es una preocupación que no haya una política relacionada con la aplicación de parches al sistema, la mayor preocupación es que la política
de seguridad de la información no es revisada periódicamente por la alta gerencia.
C. Las declaraciones de misión tienden a ser a largo plazo, dado que son de carácter estratégico y es establecida por el consejo de administración y
gestión. Esta no es la mayor preocupación del auditor de SI porque la adecuada supervisión de gobierno puede llevar a alcanzar los objetivos de la
declaración de la misión de la organización.
D. Si bien es una preocupación que no exista una política relacionada con la protección contra software malintencionado (malware), la mayor
preocupación es que la política de seguridad no es revisada periódicamente por la alta gerencia.
AS2-2 ¿Cuál de los siguientes es el criterio MÁs importante para la selección de un sitio alternativo de procesamiento?
A. La distancia total geográfica entre el sitio alternativo y el principal

B. La probabilidad de que el mismo evento natural ocurra en ambos sitios
C. La capacidad de hacer coincidir el proceso en ambos sitios
D. La proximidad del sitio alternativo a las instalaciones hospitalarias, de bomberos y de emergencia locales
Justificación:
A. La ubicación alternativa debe estar a una distancia geográfica adecuada de la instalación principal de procesamiento, pero este no es el objetivo
principal. La distancia geográfica es importante; sin embargo, el mismo evento, como un terremoto, podría afectar a dos instalaciones de
procesamiento distantes geográficamente.
B. La probabilidad de que ocurra un desastre natural es una consideración en la planificación general de la continuidad del negocio y en la
existencia de un caso de negocio para establecer un sitio alternativo. El sitio alternativo debe estar en un lugar donde no esté expuesto a las
mismas amenazas naturales que la planta de procesamiento principal.
C. El sitio alternativo debe sostener las operaciones para que las actividades comerciales normales sean interrumpidas solo por un tiempo razonable.
Esto no obliga a que la capacidad del sitio alternativo sea idéntica a la del principal. La atención debe centrarse en los servicios cruciales del
negocio que reciben apoyo y recursos adecuados para evitar la interrupción.
D. La proximidad a la estación de bomberos y otros servicios de emergencia locales es una ventaja, pero no es un criterio para la elección de la
ubicación alternativa.

DOMINIO 2-GOBIERNOY GESTiÓN DElI ~C=IS, .... CertHied
Auditor·
AnlsACA'ceJUk:lIOrl
AS2-3 ¿Cuál de las siguientes opciones distingue un análisis de impacto al negocio (BIA) de una evaluación de riesgos?
A. Un inventario de los activos críticos

S. Una identificación de las vulnerabilidades
C. Un listado de amenazas
D. Una determinación de tiempo de inactividad aceptable
Justificación:
A. Un inventario de los activos críticos se completa tanto en una evaluación de riesgos como en un BIA.
S. Una identificación de las vulnerabilidades es relevante tanto en la evaluación del riesgo como en un BIA.
C. Un listado de amenazas es relevante tanto en una evaluación de riesgos como en un BIA.
D. Una determinación de tiempo de inactividad aceptable se hace solo en un BIA.
AS2-4 Una organización tiene un proceso de gestión de riesgo bien establecido. ¿Cuál de las siguientes prácticas de manejo de riesgo tendría
MAYOR probabilidad de exponer a la organización a la mayor cantidad de riesgos de cumplimiento?
A. Reducción del riesgo

S. Transferencia del riesgo
C. Evasión del riesgo
D. Mitigación del riesgo
Justificación:
A. La reducción del riesgo es un sinónimo de mitigación de riesgos. La reducción del riesgo reduce el riesgo a un nivel acorde con el apetito de
riesgo de la organización. Sin embargo, la opción B es la mejor respuesta, debido a que la mitigación de riesgos trata el riesgo, mientras que la
transferencia del riesgo no implica necesariamente abordar el riesgo de cumplimiento.
B. La transferencia del riesgo, por lo general, se ocupa del riesgo financiero. Por ejemplo, una póliza de seguros se utiliza comúnmente para
transferir el riesgo financiero, mientras que los riesgos de cumplimiento siguen existiendo.
C. La evasión del riesgo no expone a la organización a los riesgos de cumplimiento porque la práctica de negocios que hizo que el riesgo inherente
existiera ya no se está llevando a cabo.
D. La mitigación del riesgo seguirá exponiendo a la organización a un cierto grado de riesgo. La mitigación del riesgo reduce el riesgo a un nivel
acorde con el apetito de riesgo de la organización. Sin embargo, la opción B es la mejor respuesta, porque la mitigación del riesgo trata el riesgo,
mientras que la transferencia del riesgo no necesariamente aborda el riesgo de cumplimiento.
AS2-5 ¿Cuál de las siguientes opciones debería ser una GRAN preocupación para un auditor de SI que revisa un plan de continuidad del negocio
(BCP)?
A. El plan es aprobado por el director de información (CIO),

S. Las listas de contactos del plan no han sido actualizadas.
C. Los resultados obtenidos no están adecuadamente documentados.
D. El programa de capacitación para el personal de recuperación no está incluido,
Justificación:
A. Lo ideal sería que el consejo de directores aprobara el plan para garantizar la aceptabilidad, pero es posible delegar la autoridad de la aprobación al
CIO. Pragmáticamente, la falta de documentación de los resultados de la prueba podría tener consecuencias más significativas.
S. Las listas de contacto son una parte importante del BCP; sin embargo, no son tan importantes como la documentación de los resultados de la prueba.
C. La efectividad de un BCP se puede determinar mejor mediante pruebas. Si los resultados de las pruebas no están documentados, entonces
no hay base para obtener información, actualizaciones, etc.
D. Si los resultados están documentados, se identificará una necesidad de capacitación y se actualizará el BCP.

e '"""".~~."
systems¡ Auditor'
~nISAC ...·cm,II",IIOI1 - - - - - - - - - - - - - - -- - - - - - - --
DOMINIO 2-GOBIERNOY GESTiÓN DETI
- -- - - - - - - - - - - -
AS2-6 Un auditor de SI evalúa la estructura de gobierno de TI de una organización. ¿Cuál de las siguientes seria la MAYOR preocupación?
A. La alta gerencia tiene una participación limitada.

B. No se mide el retomo de la inversión (ROl).
C. La transferencia de costos de TI no es consistente.
D. El apetito de riesgo no se cuantifica.
Justificación:
A. Para asegurar que la estructura de gobierno de TI se encuentra efectivamente establecida, la alta gerencia debe estar involucrada y al tanto
de las funciones y responsabilidades. Por lo tanto, es esencial asegurar el papel de la alta gerencia en la evaluación de la solidez del gobierno
de TI.
B. Garantizar los ingresos es una parte de los objetivos en la estructura de gobierno de TI. Por lo tanto, no es efectivo en la verificación de la solidez
del gobierno de TI.
C. La introducción de un sistema de asignación de costos es parte de los objetivos en una estructura de gobierno de TI. Por lo tanto, no es efectivo en
la verificación de la solidez del gobierno de TI.
D. La estimación del apetito de riesgo es importante; sin embargo, al mismo tiempo, la gestión debe asegurar que se encuentren establecidos los
controles. Por lo tanto, controlar solo en el apetito de riesgo no verifica la solidez del gobierno de TI.
AS2-7 ¿Cuál de las siguientes es la MEJOR manera de garantizar que las políticas de la organización cumplan con los requisitos legales?
A. La inclusión de una declaración general legal en cada política

B. La revisión periódica por expertos en la materia
C. La aprobación anual por la alta gerencia en las políticas de organización
D. La alineación de la política a las normas más restrictivas
Justificación:
A. Una declaración general legal en cada política para cumplir con todas las leyes y los reglamentos aplicables no es eficaz debido a que los lectores de
la política (personal interno) no sabrán qué declaraciones son aplicables o la naturaleza específica de sus necesidades. Como resultado, el personal
puede carecer de los conocimientos necesarios para realizar las actividades necesarias para el cumplimiento legal.
B. La revisión periódica de las políticas por el personal con conocimientos específicos de los requisitos reglamentarios y legales garantiza que
las políticas de la organización estén alineadas con los requisitos legales.
C. La aprobación anual por la alta gerencia de las políticas de una organización ayuda a determinar la actitud de los niveles más altos, pero no asegura
que las políticas cumplan con los requisitos reglamentarios y legales.
D. La alineación de las políticas a las normas más restrictivas puede crear una carga financiera inaceptable para la organización. Esto podría llegar a
asegurar los sistemas de riesgo mínimo con el mismo nivel que los que contienen datos sensitivos de clientes y otra información protegida por la
legislación.

DOMINIO 2-GOBIERNOY GESTiÓN DElI ~C~IS,A Certified
Systems. Inlormalion
Auditor'
i
AnlS4CA'CeflIIIRlIOrl
AS2-8 Un auditor de SI revisa el proceso de gestión de riesgos. ¿Cuál de las siguientes es la consideración MÁS importante durante esta revisión?
A. Los controles se aplican sobre la base de análisis costo-beneficio.

B. El marco de gestión de riesgos se basa en estándares globales.
C. El proceso de aprobación para la respuesta al riesgo está establecido.
D. Los riesgos de TI se presentan usando términos del negocio.
Justificación:
A. Los controles para mitigar los riesgos deben ser implementados sobre la base de análisis costo-beneficio; sin embargo, el análisis de costo-beneficio
es efectivo solo si el riesgo se presenta en términos de negocio.
B. Un marco de gestión de riesgos basado en estándares globales ayuda a garantizar la integridad; sin embargo, las organizaciones deben adaptarlo a
las necesidades del negocio.
C. Las aprobaciones de respuesta a los riesgos aparecen más adelante en el proceso.
D. Para que la gestión de riesgos sea efectiva, es necesario alinear los riesgos de TI con los objetivos del negocio. Esto puede hacerse mediante
la adopción de la terminología aceptable que entiendan todos, y la mejor manera de conseguirlo es presentar los riesgos de TI en términos
del negocio.
AS2-9 ¿Cuál de los siguientes es el objetivo PRINCIPAL del proceso del plan de continuidad del negocio (BCP)?
A. Garantizar a los interesados que las operaciones de negocio se mantendrán en el caso de un desastre
B. Establecer un lugar alternativo para los servicios de TI para cumplir con los objetivos predefinidos respecto al tiempo de recuperación (RTO)
C. Gestionar el riesgo mientras se recupera de un evento que afectó en forma adversa las operaciones
D. Cumplir con los requisitos de cumplimiento regulatorios en caso de desastre natural
Justificación:
A. El BCP en sí mismo no proporciona la seguridad de las operaciones continuas; sin embargo, ayuda a la organización a responder a las
interrupciones en los procesos criticos del negocio.
B. El establecimiento de un sitio alternativo es más relevante para la recuperación de desastres que el BCP.
e. El proceso de BCP se centra principalmente en el manejo y la mitigación de riesgos durante la recuperación de las operaciones debido a un
evento que afectó a las mismas.
D. Los requisitos de cumplimiento normativos pueden ayudar a establecer los requisitos de RTO.
AS2-10 Una filial en otro país se ve obligada a apartarse de las políticas de TI de la organización matriz para cumplir con la ley local. El MEJOR
enfoque para la organización matriz es:
A. crear una disposición para permitir que las políticas locales tengan prioridad cuando sea exigido por la ley.
B. que la filial revise sus políticas para cumplir con las políticas de la organización matriz.
C. revisar las políticas de la organización matriz para que coincidan con las políticas de la filial.
D. realizar un seguimiento del problema como una violación de la política con una nota de las circunstancias atenuantes.
Justificación:
A. La generación de una disposición para permitir que las políticas locales tengan prioridad cuando sea requerido por las autoridades locales
permite a la organización implementar el nivel óptimo de control sujeto a limitaciones legales.
B. Esto no es aceptable, debido a que somete a la filial a multas y sanciones locales.
C. Esta es una alternativa menos conveniente, porque la política en cuestión puede proporcionar un nivel de control superior y una reducción del riesgo
de la cual el resto de la organización debe seguir beneficiándose.
D. El seguimiento del problema como una violación de la política no resuelve satisfactoriamente la cuestión ni reconoce la necesidad de flexibilidad.

DOMINIO 2-GOBIERNOV GESTiÓN DElI ~C:ls3A Cel1ifled
Sysloms,InformaUon
Auditor"
•
"I'IUoCN'!;1IftItDIM
AS2-13 La estrategia de continuidad de negocio óptimo para una entidad está determinada por:
A. el menor costo en términos de tiempo de inactividad.

B. la suma más baja de los costos de inactividad y recuperación de costos.
e. el menor costo de recuperación.
D. el promedio del costo por tiempo de inactividad más el de recuperación.
Justificación:
A. La estrategia con el menor costo en tiempo de inactividad no es la óptima. También se debe considerar el costo de recuperación.
B. Ambos costos deben ser minimizados y la estrategia por la cual la suma de los costos es la más baja es la óptima.
e. La estrategia con el menor costo de recuperación no es la estrategia óptima. También se debe considerar el tiempo de inactividad.
D. El promedio del costo del tiempo de inactividad combinado con el de recuperación será mayor que el menor costo combinado que surge del tiempo
de inactividad y el de recuperación.
AS2-14 El objetivo PRINCIPAL de un análisis de impacto al negocio (BIA) es:
A. un plan para reanudar las operaciones después de un desastre.

B. un compromiso de la organización para la seguridad fisica y lógica.
C. un marco para un plan de recuperación ante desastres (DRP) efectivo.
D. una comprensión del costo de una interrupción.
Justificación:
A. Un BIA establece un punto de partida para la planificación de cómo reanudar las operaciones después de un desastre. Este, sin embargo, no es el
propósito principal de un BIA.
B. La percepción del público acerca de la seguridad fisica y lógica de una organización no es el objetivo principal de un BIA.
e. El BIA constituye un importante punto en la planificación de la continuidad del negocio, pero no es un marco para una planificación efectiva de
recuperación de desastres (DRP).
D. Un BIA ayuda a entender el costo de la interrupción y determinar qué aplicaciones y procesos son más importantes para el funcionamiento
continuo de la organización.

~C~ls3A Certifled
Auditor' DOMINIO 2-GOBIERNOY GESTiÓN DElI
AIIl~.c..tr!UlIO" - - - - -- -- - - - - -- - - -- - -- - - - - - - - - -- - - - - -- -
AS2-11 Un auditor de SI está revisando el plan de continuidad del negocio (BCP) de una empresa para determinar el impacto de una interrupción
en una industria donde los requisitos nonnativos exigen una alta disponibilidad, ¿Cuál de los siguientes resultados deben ser de MAYOR
A, La organización no tiene una copia original del acuerdo para el sitio de procesamiento alterno,
E. Las cintas de respaldo no se encriptan para el almacenamiento fuera del sitio.
e. No se realizan pruebas de restauración de datos para los respaldos de datos de producción.
D. Las cintas de respaldo que superan su uso no se eliminan de forma segura.
Justificación:
A. Si bien es importante tener una copia original del acuerdo, muchos terceros involucrados enviarán un duplicado del original del acuerdo para que
cada parte tenga uno.
E. Los respaldos encriptados son importantes para garantizar la confidencialidad de la información; sin embargo, si no están encriptados, no afecta la
capacidad de la organización para continuar las operaciones.
C. Las cintas de respaldo deben someterse periódicamente a pruebas para garantizar que los datos estén disponibles cuando sea necesarios
y para minimizar el impacto de una interrupción. Si los respaldos no se han probado, podría haber un retraso, debido a que los datos de
producción pueden no estar disponibles o deben ser trasladados al sitio de procesamiento alterno. Además, podría haber un retraso si es
necesario realizar procesamiento manual.
D. La eliminación segura de las cintas de respaldo es importante para asegurar la confidencialidad de la información; sin embargo, no afecta la
capacidad de la organización para continuar las operaciones.
AS2-12 La rotación de las responsabilidades del trabajo es una buena práctica de seguridad PRINCIPALMENTE porque:
A. garantiza que el personal reciba capacitación cruzada.

E. mejora la moral de los empleados.
e. maximiza el rendimiento del empleado.
D. reduce la oportunidad del fraude.
Justificación:
A. Si bien la capacitación cruzada es útil, no suele ser un problema de seguridad.
E. Mejorar la moral es importante, pero no es un problema de seguridad.
e. La rotación en el trabajo puede afectar el desempeño del empleado, ya sea positiva o negativamente.
D. Cuando las personas se familiarizan con los sistemas y los procesos, adquieren una comprensión de las debilidades de ambos. Si el individuo
está motivado de alguna manera para tomar ventaja de la situación, podrian ocurrir diversas formas de fraude. La rotación en el trabajo
reduce la oportunidad y aumenta la probabilidad de exposición al fraude.

~C=IS, In'Drm~tloll
Cortiflod Auditor'
.M. Systems
f
DOMINIO 3-ADQUISICIÓN, DESARROLLO E IMPLEMENTACiÓN DE SISTEMAS DE INFORMACiÓN
DOMINIO 3-ADQUISICIÓN, DESARROLLO E IMPLEMENTACiÓN DE SISTEMAS DE INFORMACiÓN (19%)
AS3-! Las pruebas de regresión se llevan a cabo PRINCIPALMENTE para asegurar que:
A. la funcionalidad del sistema cumple con los requisitos del cliente.

B. un nuevo sistema puede funcionar en el ambiente meta.
C. estándares de desarrollo aplicables se han mantenido.
D. los cambios aplicados no han introducido nuevos errores.
Justificación:
A. Las pruebas de validación se utilizan para probar la funcionalidad del sistema en contra de los requisitos detallados para asegurar que la
construcción de software es atribuible a las necesidades del cliente.
B. Las pruebas de sociabilidad se utilizan para ver si el sistema puede funcionar en el ambiente meta, sin efectos adversos sobre los sistemas existentes.
C. El aseguramiento de la calidad del software o las revisiones de código se utilizan para determinar si se mantienen las normas de desarrollo.
D. Las pruebas de regresión se utilizan para detectar la introducción de nuevos errores en el sistema después de que se han aplicado los
cambios.
AS3-2 ¿Cuál de los siguientes beneficios es el MÁs probable en una infraestructura estandarizada?
A. Mejor rentabilidad de la prestación de servicio y soporte operativo de TI.

8. Aumento de la seguridad del centro de prestación de servicios de TI
C. Disminución del nivel de inversión en la infraestructura de TI
D. Menor necesidad de pruebas para los cambios futuros de la aplicación
Justificación:
A. Una infraestructura estandarizada de TI proporciona un conjunto consistente de plataformas y sistemas operativos en toda la organización.
Esta estandarización reduce el tiempo y el esfuerzo requeridos para gestionar un conjunto de plataformas y sistemas operativos diferentes.
Además, se simplifica la implementación de mejores herramientas de soporte operativo, por ejemplo, las herramientas de contraseñas y de
gestión de parches y la configuración automática del acceso de los usuarios. Estas herramientas pueden ayudar a la organización a reducir
el costo de prestación de servicios y soporte operativo de TI.
B. Se produce una infraestructura estandarizada en un ambiente más homogéneo, que es más propenso a los ataques.
C. Aunque la estandarización puede reducir los costos de soporte, la transición a un conjunto estandarizado puede ser costosa; por lo tanto, el nivel
general de inversión en infraestructura de TI probablemente no se reduzca.
D. Una infraestructura estandarizada puede simplificar las pruebas de los cambios, pero no reduce la necesidad de realizar tales pruebas.

DOMINIO 3-ADQUISICIÓN, DESARROLLO E IMPLEMENTACiÓN DE SISTEMAS DE INFORMACiÓN ~C:IS,A CnrUfioll Inrormalloo
Syslem. Auditnr"
1J.'r..t,' ~
AS3-3 ¿Cuál de los siguientes tipos de riesgo podría resultar de un inadecuado nivel mínimo de software?
A. Atrasos en la aprobación
B. Violaciones de la integridad del software
C. Cambio de alcance
D. Controles inadecuados
Justificación:
A. Los atrasos en la aprobación pueden producirse debido a un inadecuado nivel mínimo de software; sin embargo, estos probablemente son causados
por el cambio de alcance.
B. Las violaciones de la integridad del software pueden ser causadas por fallos de hardware o software, intrusiones maliciosas o errores de usuario.
El nivel mínimo de software no ayuda a prevenir violaciones de la integridad del software.
C. Un nivel mínimo requerido (baseline) de software es el punto de corte en el diseño y el desarrollo de un sistema. Más allá de este punto, los
requisitos adicionales o modificaciones al alcance deben pasar por procedimientos formales y estrictos para su aprobación, basados en un
análisis costo-beneficio del negocio. La falta de manejo adecuado de un sistema a través del nivel mínimo puede dar lugar a cambios no
controlados en el alcance del proyecto e incurrir en excesos de tiempo y presupuesto.
D. Los controles inadecuados están probablemente más presentes en situaciones en las que la seguridad de la información no está debidamente
considerada desde el principio del desarrollo del sistema; no representan un riesgo que puede ser abordado adecuadamente por un nivel mínimo
de software.
AS3-4 Un auditor de SI concluye que un sistema en desarrollo cuenta con 12 módulos conectados y cada dato puede llevar hasta 10 campos de
atributos definidos. El sistema se encarga de varios millones de transacciones al año. ¿Cuál de estas técnicas podria un auditor de SI utilizar
para estimar la dimensión del esfuerzo de desarrollo?
A. Técnica de revisión y evaluación de programas (PERT)

8. Análisis de punto de función (FPA)
C. Conteo de líneas de código fuente
D. Prueba de caja blanca
Justificación:
A. PERT es una técnica de gestión de proyectos utilizada en la planificación y el control de los proyectos del sistema.
B. FPA es una técnica usada para determinar el tamaño de una tarea de desarrollo basada en el número de puntos de función. Los puntos de
función son factores, tales como entradas, salidas, consultas y sitios internos lógicos.
C. El número de líneas de códigos fuente da una medida directa del tamaño del programa, pero no permite la complejidad que puede ser causada por
tener varios módulos enlazados y una variedad de entradas y salidas.
D. La prueba de caja blanca implica una revisión detallada del comportamiento del código del programa. Es una técnica de control de calidad ideal
para aplicaciones más simples durante la etapa de diseño y construcción del desarrollo.

e'"""' '"' ' '"'
System~Auditor'
J.nLMtA'cenll lulilln
_ _ _ DOMINIO
_ __ _ 3-ADQUISICIÓN,
_ _ _ _ __ _ DESARROllO
_____ E_
IMPLEMENTACiÓN
_______ DE_SISTEMAS
____ DE
_INFORMACiÓN
__ _ __
AS3-S El objetivo PRINCIPAL de llevar a cabo una revisión post-implementación para un proyecto de automatización de procesos de negocio es:
A. asegurar que el proyecto cumpla con los requisitos de negocio previstos.

S. evaluar la idoneidad de los controles.
e. confirmar el cumplimiento con los estándares tecnológicos.
D. confirmar el cumplimiento con los requisitos reglamentarios.
Justificación:
A. Asegurar que el proyecto cumpla los requisitos de negocio pretendidos es el objetivo principal de una revisión post-implementación.
S. La evaluación de la idoneidad de los controles puede ser parte de la revisión, pero no es el objetivo principal.
e. Confirmar el cumplimiento con los estándares tecnológicos nonnalmente no es parte de la revisión post-implementación, porque esto debe
abordarse durante la etapa de diseño y desarrollo.
D. Confirmar el cumplimiento con las normas regulatorias normalmente no es parte de la revisión post-implementación, porque esto debe abordarse
durante la etapa de diseño y desarrollo.
AS3-6 Mientras se realiza la evaluación de la sección "fuera de alcance" especificada en un plan de proyecto, un auditor de SI debe determinar
si la sección:
A. describe efectivamente los objetivos no oficiales del proyecto.

S. aumenta los límites del proyecto.
e. establece claramente los objetivos "deseables" del proyecto.
D. proporciona la flexibilidad necesaria para el equipo del proyecto.
Justificación:
A. Los elementos fuera del alcance no son parte del proyecto. No debe haber objetivos no oficiales del proyecto. Los objetivos razonables deben ser
considerados por la dirección del proyecto y aceptados (dentro del alcance) o rechazados (fuera del alcance).
B. El propósito de la salida de la sección de alcance es dejar claro a los lectores qué elementos no se consideran los objetivos del proyecto, para
que todos los interesados comprendan los límites del proyecto y lo que está en el alcance o fuera del alcance. Esto se aplica a todo tipo de
proyectos, incluso las auditorías individuales.
e. Los elementos fuera de alcance no son parte del proyecto, mientras que los elementos deseables pueden ser incluidos en los objetivos del proyecto.
Sin embargo, pueden ser la última prioridad en la lista de todos los objetivos del proyecto.
D. Los elementos fuera de alcance no son parte del proyecto; la flexibilidad del equipo del proyecto en relación con los objetivos del proyecto deben
ser manejados a través de un proceso de solicitud de cambio. Esto es particularmente importante para evitar la corrupción del alcance.

DOMINIO 3-ADQUISICIÓN, DESARROLLO E IMPLEMENTACiÓN DE SISTEMAS DE INFORMACiÓN EC~IS,A Certified Information
Systems. Auditor'
¡
J,, ~So\CA·cert.ta ioo1
AS3-7 Un auditor de SI evalúa el proceso de gestión de proyectos para un proyecto interno de desarrollo de software. En lo que respecta a la
funcionalidad del software, el auditor de SI debe buscar la aprobacion a través de:
A. el gerente de proyecto.
R la gerencia de desarrollo de sistemas.
C. la gestión de unidad de negocio.
D. el equipo de aseguramiento de calidad (QA).
Justificación:
A. El gerente del proyecto ofrece gestión y liderazgo del proyecto día a día y se asegura de que las actividades sigan alineadas a la dirección general.
R La gestión de desarrollo de sistemas proporciona apoyo técnico a los ambientes de hardware y software.
C. La gestión de la unidad de negocios asume la propiedad del proyecto y el sistema resultante. Es responsable de las pruebas de aceptación y
la confirmación de que las funciones requeridas están disponibles en el software.
D. El equipo de QA asegura la calidad del proyecto mediante la medición de la adherencia al ciclo de vida de desarrollo del sistema de la organización
(SDLC).
AS3-8 ¿Cuál de las siguientes opciones es MÁS importante para un auditor de SI que evalúa cómo el gerente del proyecto ha realizado un
seguimiento del progreso del proyecto?
A. Diagramas de ruta critica

R Diagramas de técnica de revisión y evaluación de programas (PERT)
C. Análisis de punto de función (FPA)
D. Gráficas de Gantt
Justificación:
A. Los diagramas de ruta critica se utilizan para determinar la ruta critica para el proyecto, que representa el menor tiempo posible necesario para
completar el proyecto.
R Los diagramas PERT son técnicas de método de la ruta critica (CPM), en la que tres estimaciones (en comparación con una) de los plazos
necesarios para completar las actividades se utilizan para determinar la ruta crítica.
C. FPA es una técnica usada para determinar el tamaño de una tarea de desarrollo basado en el número de puntos de función.
D. Las gráficas de Gantt ayudan a identificar las actividades que se completaron antes o después en comparación con una línea base.
El progreso de todo el proyecto se puede leer en la gráfica de Gantt para determinar si el proyecto está retrasado, adelantado o según
lo previsto.

~C:IS, H
Cerlilied Inrormation
Systoms, Auditor' DOMINIO 3-ADQUISICIÓN, DESARROLLO E IMPLEMENTACiÓN DE SISTEMAS DE INFORMACiÓN
AroISACA·c.rt,rolloll - - - - - - - - - - - - - - -- -- - - - - - - - - - - - - - - - -- - - -
AS3-9 Al revisar un proyecto en curso, el auditor de SI señala que el equipo de desarrollo ha pasado ocho horas de actividad el primer día frente a un
presupuesto de 24 horas (de más de tres días). El tiempo previsto para completar el resto de la actividad es de 20 horas. El auditor de SI debe
informar que el proyecto:
A. está retrasado.
B. está adelantado en relación con el cronograma.
C. está a tiempo.
D. no se puede evaluar hasta que la actividad se haya completado.
Justificación:
A. El análisis de valor obtenido (EVA) se basa en la premisa de que si a una tarea de proyecto se le asignan 24 horas para su finalización,
se puede completar razonablemente durante ese tiempo. Según EVA, el proyecto está retrasado debido a que el valor de las ocho horas
dedicadas a la tarea deben ser solo cuatro horas, teniendo en cuenta que se tienen que completar 20 horas restantes.
B. EVA se basa en la premisa de que si a una tarea de proyecto se le asignan 24 horas para su finalización, se puede completar razonablemente
durante ese tiempo. Según EVA, el proyecto está retrasado debido a que el valor de las ocho horas dedicadas a la tarea deben ser solo cuatro horas,
teniendo en cuenta que se tienen que completar 20 horas restantes.
C. EVA se basa en la premisa de que si a una tarea de proyecto se le asignan 24 horas para su finalización, se puede completar razonablemente
D. EVA se basa en la premisa de que si a una tarea de proyecto se le asignan 24 horas para su finalización, se puede completar razonablemente
AS3-10 Una organización ha comprado una aplicación de terceros e hizo modificaciones significativas. Mientras se audita el proceso de desarrollo
de esta aplicación critica, de cara al cliente, el auditor de SI señaló que el vendedor ha estado en el negocio solo por un año. ¿Cuál de las
siguientes opciones ayudaria a mitigar el riesgo en relación con la aplicación continua de apoyo?
A. Un estudio de viabilidad sobre el vendedor

B. Un acuerdo de custodia de software
C. Una evaluación financiera del proveedor
D. Un acuerdo contractual para futuras mejoras
8 es la respuesta correcta.
Justificación:
A. Mientras que un estudio de viabilidad sobre el vendedor puede ofrecer alguna garantía de la disponibilidad a largo plazo de los servicios del
proveedor para la entidad, en este caso es más importante que la compañía tenga los derechos sobre el código fuente.
8. Teniendo en cuenta que el vendedor ha estado en el negocio por solo un año, la mayor preocupación es la estabilidad financiera o la
viabilidad del proveedor y el riesgo de que el vendedor se retire de los negocios. La mejor manera de que este riesgo se pueda abordar es
teniendo un acuerdo de custodia de software para el código fuente de la aplicación, que prevé el acceso al código fuente para la entidad, en
el caso de que el vendedor se retire de los negocios.
C. Teniendo en cuenta que el vendedor ha estado en el negocio por solo un año, la evaluación financiera del vendedor no seria de mucho valor y no
podria ofrecer garantías sobre la disponibilidad a largo plazo de los servicios del vendedor para la entidad. En este caso, es más importante que la
compañía tenga derechos sobre el código fuente.
D. Un acuerdo contractual, mientras sea vinculante, no es exigible en el caso de quiebra.

ISACA. Todos los derechos reservedos.
DOMINIO 3-ADQUISICIÓN, DESARROLLO E IMPLEMENTACiÓN DE SISTEMAS DE INFORMACiÓN ~C:IS,A' Certified
Systems, Informatlon
Auditor'
¡
A"ISACA'Cf,rllllelllo,
AS3-11 ¿Cuál de las siguientes opciones ayuda MEJOR a un auditor de SI para evaluar la calidad de la programación de actividades relacionadas con
las capacidades de mantenimiento futuras?
A. El lenguaje de programación
B. El ambiente de desarrollo
C. Un sistema de control de versiones
D. Las normas para la codificación de programas
Justificación:
A. El lenguaje de programación puede ser una preocupación si no es un lenguaje de uso común; sin embargo, las normas para la codificación de
programas son más importantes.
B. El entorno de desarrollo puede ser relevante para evaluar la eficacia del proceso de desarrollo del programa, pero no para el mantenimiento futuro
del programa.
C. Un sistema de control de versión ayuda a administrar las revisiones de software de código, sin embargo, no garantiza que las normas de codificación
sean aplicadas consistentemente.
D. Las normas para la codificación de programas son necesarias para el mantenimiento eficiente de los programas y las modificaciones. Para
aumentar la calidad de las actividades de programación y las futuras capacidades de mantenimiento, se deben aplicar normas para la
codificación de programas. Las normas para la codificación de programas son esenciales para leer y entender el código, de manera sencilla
y clara, sin tener que volver a tomar referencia de las especificaciones de diseño.
AS3-12 Durante la auditoría de un ciclo de vida del desarrollo del sistema (SDLC) las aplicaciones de recursos humanos (HR) y de nómina, el auditor
de SI señala que los datos utilizados para la prueba de aceptación del usuario (UAT) han sido enmascarados. El objetivo de enmascarar los
datos es para asegurar:
A. la confidencialidad de los datos.

B. la exactitud de los datos.
C. la integridad de los datos.
D. la fiabilidad de los datos.
Justificación:
A. El enmascaramiento de datos se utiliza para garantizar la confidencialidad de los mismos, especialmente en un ejercicio de la VAT, en el
cual los aplicadores de prueba tienen acceso a los datos que no tendrían acceso a entornos de producción normales.
B. El enmascaramiento de datos no garantiza la exactitud de los mismos. Si los datos subyacentes no son exactos, los datos enmascarados también
serán incorrectos.
C. El enmascaramiento de datos no garantiza la integridad de los mismos. Si los datos subyacentes no están completos, los datos enmascarados
también estarán incompletos.
D. El enmascaramiento de datos no garantiza la confiabilidad de los mismos. Si los datos subyacentes no son fiables, los datos enmascarados tampoco
serán fiables.

e CISA
AS3-13
Certilled InlormaUon
syr.ton~ Audllof'
"'U¡ll;A'(;r~ -
- -- - - - - - - - - - - - - - - -- - -- - - - - - - - - - - - - - --
¿Cuál de las siguientes opciones ayuda a un auditor de SI a evaluar la calidad de un nuevo software que se desarrolla y es aplicado?
A. La infonnación del tiempo medio entre fallas a través del tiempo

B. El tiempo medio general de reparación de fallas
C. El primer informe del tiempo medio entre fallas
D. El tiempo de respuesta general de reparación de las fallas
Justificación:
A. El tiempo medio entre fallas que son reiterativas incluye la ineficiencia en la fijación de las primeras fallas reportadas y es una reflexión sobre el
equipo de respuesta o el equipo de servicio técnico en la fijación de los problemas comunicados.
B. El tiempo medio de reparación es una reflexión sobre el equipo de respuesta o el equipo de servicio técnico en el tratamiento de los problemas
comunicados.
C. El tiempo medio entre las fallas que son reportadas primero representa fallos en el software informados por los usuarios en el entorno de
producción. Esta información ayuda al auditor de SI en la evaluación de la calidad del software que se desarrolla e implementa.
D. El tiempo de respuesta es un reflejo de la agilidad del equipo de respuesta o el equipo de servicio técnico para abordar los problemas informados.
AS3-14 Durante una revisión post-implementación, un auditor de SI considera que la aplicacion entregada no cumple con las necesidades del usuario
final. ¿Cuál de las siguientes es la MEJOR recomendación para prevenir problemas futuros con el proceso de gestión de proyectos?
A. Involucrar a los desarrolladores de aplicaciones durante la etapa de diseño.

B. Utilizar el método de cascada en todo el proceso de desarrollo.
C. Revisar y actualizar las políticas de gestión de proyectos y procedimientos.
D. Involucrar al comité directivo de proyectos al inicio del proceso de desarrollo.
Justificación:
A. La cuestión implica que el equipo desarrollador de la aplicación ya está involucrado.
B. El método de cascada ayuda a asegurar que [os errores se detecten a tiempo en e[ proceso de desarrollo. E[ desarrollo de cascada es un ciclo
de desarrollo centrado en e[ procedimiento con [a aprobación formal en la finalización de cada nivel.
C. Si bien actualizar las políticas y los procedimientos es importante, no cambia el proceso de desarrollo. Un mejor control es cambiar el enfoque que
la organización utiliza para desarrollar aplicaciones.
D. El comité directivo de proyectos debe estar involucrado al inicio del proceso; sin embargo, el proceso de desarrollo no está funcionando para
entregar aplicaciones que satisfagan las necesidades de los usuarios.

DOMINIO 3-ADQUISICIÓN, DESARROLLO E IMPLEMENTACiÓN DE SISTEMAS DE INFORMACiÓN EC=IS,A CertHIed
Auditor'
o\nl5AtAo c.t1k.M1an
AS3-15 ¿Cuál de las siguientes opciones conlleva el MENOR riesgo en la gestión de fallas, en la transición de las aplicaciones antiguas a las nuevas?
A. Cambio en etapas
B. Cambio abrupto
C. Procedimiento de restauración
D. Cambio en paralelo
Justificación:
A. El cambio en etapas implica cambiar el sistema antiguo al sistema nuevo de manera gradual. Por lo tanto, en ningún momento el sistema antiguo y
el sistema nuevo estarán en pleno funcionamiento como un sistema integrado.
B. En un cambio abrupto, el sistema nuevo se cambia desde el antiguo sistema en una fecha y hora de corte, y el sistema antiguo se interrumpe
después de que se lleva a cabo la transición al sistema nuevo. Por lo tanto, el sistema antiguo no está disponible como respaldo si hay problemas
cuando el sistema nuevo se aplica.
C. Los procedimientos de restauración implican la restauración de todos los sistemas a su estado de funcionamiento anterior, sin embargo, el cambio
en paralelo es la mejor estrategia.
D. El cambio en paralelo implica, en primer lugar, ejecutar el sistema antiguo, luego ejecutar los sistemas antiguos y nuevos paralelamente, y
finalmente, cambiar completamente al sistema nuevo después de ganar la confianza en la funcionalidad del sistema nuevo.
AS3-16 ¿Cuál de las siguientes opciones ayuda MEJOR a un auditor de SI para evaluar y medir el valor de un nuevo sistema implementado?
A. Revisión de los requisitos de negocio

B. Certificación del sistema
C. Revisión post-implementación
D. Acreditación del sistema
Justificación:
A. Si bien revisar los requisitos del negocio es importante, solo una revisión post-implementación proporciona evidencia de que el proyecto cumple con
los requisitos de negocio.
B. El sistema de certificación implica la realización de una evaluación exhaustiva en base a nonnas de gestión, controles técnicos y operativos en un
sistema de infonnación para examinar el nivel de confonnidad en el cumplimiento de ciertos requisitos, tales como nonnas, políticas, procesos,
procedimientos, instrucciones y directrices de trabajo.
C. Uno de los objetivos clave de una revisión post-implementación es evaluar el costo proyectado,llos beneficios o las medidas de retorno de
inversión (ROl).
D. La acreditación del sistema es la decisión de la gestión oficial para autorizar la operación de un sistema de infonnación y aceptar explícitamente el
riesgo para las operaciones, activos e individuos de la organización, basándose en la implementación de un conjunto de requerimientos y controles
de seguridad acordados.

~C~ls3A· Cerlilied
Systems, Inl.
ormation
Auditor·
,
A"I:W:A"Cffilll"hon
AS3-17 Una gran organización industrial sustituye el antiguo sistema obsoleto y evalúa la posibilidad de adquirir una solución personalizada o
desarrollar un sistema interno, ¿Cuál de las siguientes opciones influirá MÁs en la decisión?
A. Las habilidades técnicas y los conocimientos dentro de la organización relativos al abastecimiento y desarrollo de software
B. Los requisitos de privacidad aplicados a los datos procesados por la aplicación
C. Si el sistema anterior que se sustituye fue desarrollado internamente
D. Los usuarios no dedican un tiempo razonable para definir las funcionalidades de la solución
Justificación:
A. Es más probable que se consideren cuidadosamente las competencias cruciales centrales antes de externalizar la etapa de planificación de
la aplicación.
B. Las normas de privacidad sobre los datos impactan el uso de la aplicación, no su preparación.
C. Mientras que los individuos con conocimiento del sistema anterior son útiles, pueden no tener las habilidades técnicas para construir un sistema
nuevo. Por lo tanto, este no es el principal factor que influye en la decisión de hacer vs, comprar.
D. Los requisitos (funcionalidades) de negocio poco claros del mismo modo afectarán a cualquiera de los procesos de desarrollo, pero no son el factor
principal que influye en la decisión de hacer vs. comprar.
AS3-18 Un equipo de compañía de desarrollo generalmente no sigue las prácticas del ciclo de vida de desarrollo del sistema (SDLC). ¿Cuál de las
siguientes opciones es MÁS probable que cause problemas para los proyectos de desarrollo de software?
A. La verificación funcional de los prototipos se le asigna a los usuarios finales.

B. El proyecto se lleva a cabo mientras las cuestiones de menor importancia están abiertas desde las pruebas de aceptación del usuario (UAT).
C. Las responsabilidades de los proyectos no se definen formalmente en el inicio de un proyecto.
D. La documentación del programa es insuficiente.
Justificación:
A. Los prototipos son verificados por los usuarios.
B. Las UAT rara vez son un éxito. Si los errores no son criticos, podrian ser corregidos después de la implementación sin afectar seriamente su uso.
C. Los errores o la falta de atención en las etapas iniciales de un proyecto pueden causar costosos errores e ineficiencias en las etapas
posteriores. Se necesita una planificación adecuada en el inicio de un proyecto.
D. La falta de documentación del programa, si bien es una preocupación, no representa un gran riesgo, como la falta de responsabilidades asignadas
durante las etapas iniciales del proyecto.

ISACA. Todos 109 derechos reservados.
DOMINIO 3-ADQUISICIÓN, DESARROLLO E IMPLEMENTACiÓN DE SISTEMAS DE INFORMACiÓN ~C~IS,A Certnied Informallon
Syslems, Audllor'
i
o\J1lSACA"c.1111W11:o'1
AS3-19 Se le ha pedido a un auditor de SI revisar la implementación de un sistema de gestión de relaciones con clientes (CRM) para una organización
grande. El auditor de SI descubrió que el proyecto incurrió en gastos significativos que exceden el presupuesto y el cambio de alcance hizo
que el proyecto perdiera fechas clave. ¿Cuál de las siguientes opciones deberá recomendar el auditor de SI para futuros proyectos?
A. Capacitación en gestión de proyectos

B. Un nivel mínimo de software
C. Un cuadros de mando integral (BSC)
D. Software de requisitos automatizados
Justificación:
A. Si bien la capacitación en gestión de proyectos es una buena práctica, no impide necesariamente el cambio de alcance sin el uso de un nivel mínimo
de software y un proceso de cambio de requisitos contundente.
B. El uso de un nivel mínimo de software proporciona un punto de corte para el diseño del sistema y permite que el proyecto proceda como
estaba programado sin ser retrasado por el cambio de alcance.
C. Un BSC es un conjunto coherente de medidas de desempeño organizadas en cuatro categorías, que incluye medidas financieras tradicionales, pero
agrega al cliente procesos de negocios internos y aprendizaje, y perspectivas de crecimiento. No evita el cambio de alcance.
D. El uso de requisitos de software automatizados no disminuye el riesgo del cambio de alcance.

~C~IS, Certlfied Information
... Systems, Auditor'
¡
DOMINIO 4-0PERACIONES, MANTENIMIENTO Y SOPORTE DE SISTEMAS DE INFORMACiÓN
Anl!>ACA'Certllltlllon
DOMINIO 4-0PERACIONES, MANTENIMIENTO V SOPORTE DE SISTEMAS DE INFORMACiÓN (23%)
AS4-1 ¿Cuál de las siguientes es una GRAN preocupación durante la revisión de actividades de asistencia técnica?
A. Algunas llamadas no pudieron resolverse por el equipo de mesa de ayuda.

8. Una línea dedicada no es asignada al equipo de mesa de ayuda.
C. Los incidentes resueltos se cierran sin referencia a los usuarios.
D. La mensajería instantánea de la mesa de ayuda ha estado fuera de servicio por más de seis meses.
Justificación:
A. Aunque esta es una preocupación, debería esperarse. Un problema de procedimiento de escalamiento debe ser desarrollado para manejar esas
situaciones.
B. Idealmente, un equipo de mesa de ayuda debe contar con líneas dedicadas, pero esta excepción no es tan grave como que el equipo técnico
cierre un incidente de manera unilateral.
C. La función de la mesa de ayuda es la de una unidad orientada al servicio. Los usuarios deben aprobarlo antes de que un incidente se
considere cerrado.
D. La mensajería instantánea es un adicional para mejorar la eficacia del equipo de mesa de ayuda. Su ausencia no representa una preocupación
importante siempre y cuando todavía puedan hacerse llamadas.
AS4-2 ¿Cuál de las siguientes estrategias es la MÁs apropiada si el objetivo de tiempo de recuperación (RTO) es alto?
A. Sitio cálido (warm site)

8. Sitio frío (cold site)
C. Sitio caliente (hot site)
D. Sitio móvil
Justificación:
A. Si el objetivo de tiempo de recuperación (RTO) es alto, es financieramente irresponsable utilizar un sitio cálido.
B. Si el RTO es alto, entonces el tiempo de inactividad aceptable es alto. Un sitio frío será apropiado en tales situaciones.
C. Si el RTO es alto, un sitio caliente no es adecuado. Se debe utilizar solo cuando el RTO es bajo.
D. Un sitio móvil es más costoso que un sitio frío. La elección de un sitio móvil cuando el RTO es alto no se corresponde con un buen
sentido financiero.

DOMINIO 4-0PERACIONES, MANTENIMIENTO Y SOPORTE DE SISTEMAS DE INFORMACiÓN EC~IS, Certifled Inlormation
M Systoms. AudltOl"
¡
AnISACA"Cm1l1alg
AS4-3 Los procedimientos de recuperación para una instalación de procesamiento de información son MEJORES en base a:
A. objetivo de tiempo de recuperación (RTO).

B. objetivo de punto de recuperación (RPO).
C. máximo tiempo tolerable de interrupción (MTO).
D. política de seguridad de información.
Justificación:
A. El RTO representa la cantidad de tiempo permitida para la recuperación de una función o recurso de negocio después de que ocurre un
desastre; no determina la pérdida aceptable de datos.
B. El RPO tiene la mayor influencia en las estrategias de recuperación para los datos dados. Se determina en base a la pérdida de datos aceptables en
caso de una interrupción de las operaciones. El RPO cuantifica efectivamente la cantidad permisible de pérdida de datos en caso de interrupción.
C. El MTO es la cantidad de tiempo permitida para la recuperación de una función de negocios o de recursos después de un desastre; no tiene una
influencia directa en la recuperación de datos.
D. Una política de seguridad de información no se refiere a los procedimientos de recuperación.
AS4-4 ¿Cuál de las siguientes es la manera MÁS eficiente para probar la efectividad del diseño de un proceso de control de cambios?
A. Probar una muestra de solicitudes de cambios.

B. Probar una muestra de los cambios autorizados.
C. Entrevistar al personal a cargo del proceso de control de cambios
D. Realizar una verificación completa del proceso.
Justificación:
A. Probar una muestra de los cambios es una prueba de efectividad de la operación para garantizar que los usuarios presentaron la documentación!
solicitudes correspondientes. No prueba la efectividad del diseño.
B. Los cambios de prueba que se han autorizados no pueden ofrecer garantías suficientes de todo el proceso, porque no prueban los elementos del
proceso relacionados con la autorización.
C. Entrevistar al personal a cargo del proceso de control de cambios no es tan eficaz como una verificación del proceso de control de cambios.
D. La observación es el mejor y más eficaz método para probar los cambios y asegurar que el proceso sea diseñado efectivamente.

e . . . . .· ·
syste.rn; Auditor'
A~ISACo\'CIr1It1t1I"m
DOMINIO 4-0PERACIONES. MANTENIMIENTO Y SOPORTE DE SISTEMAS DE INFORMACiÓN
- - - - - - - - - - - - - - -.- - - - - - - - - - - - - - - - - - - - - - -
AS4-5 ¿Cuál de las siguientes es la MEJOR razón para integrar la prueba de los sistemas no críticos en los planes de recuperación de desastres
(DRP) con planes de continuidad de negocio (SCP)?
A. Asegurarse de que los DRP estén alineados con el análisis de impacto en el negocio (SIA).
B. El personal de recuperación de la infraestructura puede estar asistido por expertos de negocios en la materia.
C. Los BCP pueden suponer la existencia de capacidades que no están en los DRP.
D. Proporcionarles a los ejecutivos de negocios el conocimiento de las capacidades de recuperación de desastres.
Justificación:
A. Los DRP deben estar alineados con el BIA, sin embargo, esto no tiene impacto en la integración de la prueba de los sistemas no críticos en los DRP
con los BCP.
S. El personal de la infraestructura se centrará en la restauración de las diversas plataformas que conforman la infraestructura, y no es necesario que
participen los expertos de negocios en la materia.
C. Los BCP pueden suponer la existencia de capacidades que no son parte de los DRP, tales como permitir a los empleados trabajar desde
su casa durante el desastre, sin embargo, TI puede no haber tomado medidas suficientes para estas capacidades (por ejemplo, no puede
respaldar un gran número de empleados trabajando desde casa). Si bien los sistemas no críticos son importantes, es posible que no formen
parte de los DRP. Por ejemplo, una organización puede utilizar un sistema en línea que no interactúa con los sistemas internos. Si la función
de negocios utilizando el sistema es un proceso crítico, el sistema debe ser probado, y puede que no sea parte del DRP. Por lo tanto, deben
integrarse las pruebas de DRP y Bep.
D. Si bien los ejecutivos de negocio pueden estar interesados en los beneficios de la recuperación de desastres, las pruebas no son la mejor manera de
realizar esta tarea.
AS4-6 ¿Cuál de los siguientes es el MAYOR riesgo de una organización que utiliza los acuerdos recíprocos para la recuperación de desastres entre
dos unidades de negocio?
A. Los documentos contienen deficiencias legales.

B. Ambas entidades son vulnerables a un mismo incidente.
C. Los sistemas de TI no son idénticos.
D. Una de las partes tiene interrupciones más frecuentes que la otra.
Justificación:
A. La insuficiencia de los acuerdos entre dos unidades de negocio es un riesgo, pero en general es menor al riesgo de que ambas organizaciones
sufran un desastre al mismo tiempo.
B. El uso de recuperación de desastres recíproco se basa en la probabilidad de que ambas organizaciones no sufran un desastre al mismo
tiempo.
C. Si bien los sistemas de TI incompatibles pueden crear problemas, es un riesgo menos significativo que si las dos organizaciones sufren el mismo
desastre al mismo tiempo.
D. Mientras que una de las partes podrá utilizar los otros recursos con mayor frecuencia, esto puede ser abordado por las disposiciones contractuales y
no es un riesgo importante.

DOMINIO 4-0PERACIONES, MANTENIMIENTO Y SOPORTE DE SISTEMAS DE INFORMACiÓN EC:IS,
.A Cert~1ed Informalion
....' Syslems. Auditor'
i
AniSACNCe!1111u11on
AS4-7 La capacidad de reconocer un incidente de seguridad potencial:
A. es responsabilidad primordial del personal de seguridad.

B. no es importante porque muchos tipos de incidentes podrían implicar la seguridad.
C. es respaldado por políticas detalladas.
D. requiere de todo el personal.
Justificación:
A. La habilidad de reconocer los posibles incidentes de seguridad NO debe limitarse al personal de seguridad. Mientras que el personal de seguridad
puede ser más competente en la determinación de si un incidente es un problema, todos los empleados deben tener los conocimientos básicos para
identificar los posibles incidentes de seguridad y estar al tanto del proceso para alertar al equipo de seguridad de manera oportuna.
B. No todos los incidentes son de seguridad o tienen la necesidad de involucrar al personal de seguridad.
C. Las normas corporativas deben establecer criterios claros de lo que constituye un incidente de seguridad. Las políticas no ofrecen estos datos.
D. Lo que constituye un incidente de seguridad debe estar definido en los documentos de criterios de gravedad y debe ser entendido por
todo el personal.
AS4-8 El PRIMER paso en la ejecución de un mecanismo de gestión de problemas debe ser:
A. tema de análisis.
B. clasificación de excepción.
C. informe de excepciones.
D. análisis de causa raíz.
Justificación:
A. El análisis y la resolución se realizan después de que el registro y la clasificación se han realizado.
B. El escalamiento debe producirse cuando la resolución no se puede lograr.
e. La notificación de las cuestiones operativas es normalmente el primer paso en el seguimiento de problemas.
D. El análisis de causa raíz no es normalmente la primera parte de la gestión del problema.
AS4-9 Después de una declaración de desastre, la fecha de creación de medios en un sitio cálido (warm site) de recuperación se basa en:
A. el objetivo de punto de recuperación (RPO).

B. el objetivo de tiempo de recuperación (RTO).
C. el objetivo de entrega de servicios (SDO).
D. el mínimo tiempo tolerable de interrupción (MTO).
Justificación:
A. El RPO se determina en base a la pérdida de datos aceptables en caso de una interrupción de las operaciones. Indica el tiempo mínimo
posible en el que se pueden recuperar los datos. El RPO cuantifica efectivamente la cantidad permisible de pérdida de datos en caso de
interrupción. La fecha de creación de medios refleja el punto en que los datos se van a restaurar, o el RPO.
B. El RTO es la cantidad de tiempo permitida para la recuperación de una función o recurso de negocio después de que ocurre un desastre.
C. El SDO está directamente relacionado con las necesidades de negocio, y es el nivel de servicios que se debe alcanzar durante el modo de proceso
alterno hasta que se vuelva a la situación normal.
D. El MTO es el tiempo mínimo durante el cual una organización puede continuar el proceso en modo alterno.

ISACA, Todos los derechos reservados.
~C:IS,A Ccrtlrfed Inrqrollltk¡¡l
SYSlamG,l\uditof DOMINIO 4-0PERACIONES, MANTENIMIENTO V SOPORTE DE SISTEMAS DE INFORMACiÓN
/IoII"""",c.tl llalli" - - - -- - - - - - - -- - - - - - - - - - - - - - - - - - - - - - - - - -
AS4-10 Una verificación de la redundancia cíclica (CRC) se utiliza comúnmente para detelminar:
A. la exactitud de los datos de entrada.

B. la integridad de un programa descargado.
C. la adecuación de la encriptación.
D. la validez de la transferencia de datos.
o es la respuesta correcta,
Justificación:
A. La exactitud de los datos de entrada pueden ser impuestos por la validación de los controles de datos, tales como listas de selección, verificaciones
cruzadas, verificaciones de razonabilidad, totales de control, verificaciones de caracteres permitidos y otros.
B. Una suma de comprobación se utiliza comúnmente para validar la integridad de un programa descargado o de otros datos que se transfieren.
C. La adecuación de encriptación es impulsada por la sensibilidad de los datos que deban protegerse y los algoritmos que determinan el tiempo que se
necesitaría para romper un método de encriptación específico.
D. La precisión de los bloques de las transferencias de datos, como la transferencia de datos desde discos duros, es validada por un CRe.
AS4-11 Durante una auditoría de una pequeña compañía que ofrece servicios de transcripción médica, un auditor de SI observa varias cuestiones
relacionadas con el proceso de respaldo y restauración. ¿Cuál de las siguientes debería ser la MAYOR preocupación del auditor?
A. No se realizan las pruebas de restauración para los medios de respaldo; sin embargo, han sido exitosas todas las solicitudes de datos de restauración.
B. La política para el respaldo y la retención de datos no ha sido revisada por el propietario del negocio durante los últimos tres años.
C. La compañía almacena cintas de respaldo de transcripción externas con un proveedor de servicios de terceros, que hace inventarios anuales de las
cintas de respaldo.
D. Las alertas de respaldo fallidas para los archivos de datos para el departamento de comercialización no son objeto de seguimiento o no están
resueltas por el administrador de TI.
Justificación:
A. La falta de pruebas de restauración no aumenta el riesgo de fuga no autorizada de la información. No realizar las pruebas de restauración de
las cintas de respaldo representa un riesgo; sin embargo, este riesgo está mitigado porque las solicitudes anteriores de datos de restauración han
tenido éxito.
B. La falta de revisión del respaldo de datos y la política de retención puede ser una preocupación si los sistemas y procesos de negocio han cambiado
en los últimos tres años. El auditor de SI debe realizar procedimientos adicionales para verificar la validez de los procedimientos existentes.
Además, la falta de este control no representa un riesgo de fuga no autorizada de la información.
e. Para una compañía que trabaja con datos confidenciales de los pacientes, la pérdida de una cinta de respaldo es un incidente importante.
Las leyes de privacidad especifican sanciones severas para tal eventualidad, y la reputación de la compañía podría sufrir daños debido
a los requisitos de informe obligatorio. Con el fin de asegurarse de que las cintas se están manejando adecuadamente, la organización
debe llevar a cabo las pruebas de auditoría, que incluyen los inventarios fisicos frecuentes y una evaluación de los controles en el lugar
del proveedor externo.
D. Las alertas de respaldo fallidas que no tienen seguimiento y no son resueltas implican que ciertos datos o archivos no están respaldados. Esta es una
preocupación si los archivos/datos respaldados son cruciales por naturaleza, pero por lo general los archivos de datos de comercialización no están
regulados de la misma manera que los archivos médicos de transcripción. La falta de este control no representa un riesgo de fuga no autorizada de
la información confidencial.

DOMINIO 4-0PERACIONES, MANTENIMIENTOV SOPORTE DE SISTEMAS DE INFORMACiÓN ~C~IS, "
Corlil1od Inrorl11alTon
Systams. Auditor"
ÁIIIlW(~IIIUJW
AS4-12 La determinación del objetivo de prestación de servicios (ODS) se debe basar PRINCIPALMENTE en:
A. la capacidad operativa mínima aceptable.

S. la rentabilidad del proceso de restauración.
C. el logro de objetivos de tiempo de recuperación (RTO).
D. la ventana de interrupción aceptable (AIW).
Justificación:
A. El SDO es el nivel de servicio que se ha alcanzado durante el proceso de modo alternativo hasta que la situación normal se restablezca.
Se relaciona directamente con las necesidades del negocio.
S. La rentabilidad del proceso de restauración no es la principal consideraciónpara determinar el SDO.
C. Alcanzar el RTO puede ser una de las consideraciones en la determinación de la SDO, pero es un factor secundario.
D. La AIW puede ser uno de los factores secundarios para determinar el SDO.
AS4-13 ¿Cuál de las siguientes es la MEJOR manera de asegurar que un sistema de producción comercial siga operando como se esperaba?
A. Los cambios se ejecutan y prueban en el entorno de producción.

S. Los cambios son revisados por los analistas que han diseñado la aplicación, antes de ser aplicada.
C. Los usuarios que solicitan cambios crean los casos de prueba.
D. La aplicación se creó con un alto nivel de participación de los usuarios.
Justificación:
A. Las modificaciones que se ejecutan y prueban en el entorno de producción suponen un mayor riesgo de modificaciones no autorizadas.
B. Si los cambios son revisados por los autores de la aplicación hay menos probabilidades de que haya errores no deseados o efectos
secundarios causados por modificaciones inadecuadas o incompletas. Los analistas tienen una mejor comprensión de la aplicación
que desarrollaron.
C. Los casos de prueba desarrollados por el usuario no pueden ser suficientes para cubrir la posibilidad de introducir efectos no deseados en las
áreas funcionales que no están directamente implicadas en el cambio.
D. Si bien la participación del usuario es importante durante el desarrollo del sistema y las pruebas de aceptación, no asegura la disponibilidad del
sistema después de que el sistema ha entrado en producción.

e " '"., ," ,
system~ Audito,'
~~ ISACA'Co1ll o;a1 iln
DOMINIO 4-0PERACIONES, MANTENIMIENTO Y SOPORTE DE SISTEMAS DE INFORMACiÓN
--------------------------------------
AS4-14 Un auditor de SI está realizando una revisión de una red, y los usuarios informan de que la red es lenta y las páginas web regularmente no se
cargan. El auditor de SI confirma los comentarios de los usuarios y presenta los hallazgos al administrador de red. La acción más apropiada
para el equipo de administración de la red debe ser PRIMERO:
A. utilizar un analizador de protocolos para analizar la red y revisar las bitácoras de error de la red de área local (LAN).
B. adoptar medidas para aumentar el ancho de banda de la conexión a Internet.
C. crear una línea de base utilizando un analizador de protocolos y poner en práctica la calidad de servicio (QoS) para asegurar que las aplicaciones
criticas de negocio funcionan en farola adecuada.
D. implementar LAN virtuales (vLAN) para segmentar la red y asegurar el rendimiento.
Justificación:
A. En este caso, el primer paso es identificar si hay un problema de configuración o de mal funcionamiento del hardware, que se determina
mediante el uso de un analizador de protocolos y la revisión de los archivos de registro de los interruptores o en rutado res relacionados.
B. Si bien se requiere un aumento de ancho de banda de Internet, puede no ser necesario si el problema de rendimiento se debe a un problema diferente
o condición de error.
C. Si bien la creación de una línea base y ejecución de QoS asegurará que las aplicaciones cruciales tengan el ancho de banda adecuado, en este caso
el problema de rendimiento puede estar relacionado con una mala configuración o el mal funcionamiento del equipo.
D. Si bien la implementación de vLAN puede ser una buena práctica para garantizar un rendimiento adecuado, en este caso el problema podría estar
relacionado con errores de configuración o mal funcionamiento del equipo.
AS4-15 Es MÁS adecuado implementar un esquema de respaldo incremental cuando:
A. hay tiempo de recuperación limitado para los datos críticos.

B. se prefieren medios basados en discos en línea.
C. hay capacidad limitada de medios.
D. se requiere una selección aleatoria de conjuntos de respaldo.
Justificación:
A. En esta situación, se prefiere un respaldo completo o diferencial.
B. Un respaldo incremental podria ser utilizado independientemente de los medios adoptados.
C. En un respaldo incremental, después del respaldo completo, solo los archivos que han cambiado son respaldados, minimizando así el
almacenamiento de los medios.
D. Una selección aleatoria de los conjuntos de respaldo no puede ser posible con un sistema de respaldo incremental, porque solo fragmentos de los
datos se respaldan en una base diaria.

DOMINIO 4-0PERACIONES, MANTENIMIENTO y SOPORTE DE SISTEMAS DE INFORMACiÓN EC~13 ~
Ccrtlfled bllormaUon
SystBms.lwdltnr·
",~Qr~I~
AS4-16 ¿Cuál de las siguientes opciones mitiga MEJOR el riesgo derivado del uso de los acuerdos recíprocos como alternativa de recuperación?
A. Realizar ejercicios de recuperación de desastres todos los años.

B. Asegurar que las organizaciones asociadas estén separadas geográficamente.
C. Realizar regularmente un análisis de impacto del negocio (BrA).
D. Seleccionar una organización asociada con sistemas similares.
Justificación:
A. Si bien los ejercicios de recuperación de desastres son importantes, el mayor riesgo es la proximidad geográfica.
B. Si las dos organizaciones asociadas se encuentran en proximidad geográfica, esto podría llevar a ambas organizaciones a estar sometidas a
los mismos desastres ambientales, como terremotos.
C. Un BIA ayudará a ambas organizaciones a identificar las aplicaciones cruciales, pero la separación es una consideración más importante cuando se
ingresan acuerdos recíprocos.
D. La selección de una organización asociada con sistemas similares es una buena idea, pero la separación es una consideración más importante
cuando se ingresan acuerdos recíprocos.
AS4-17 Durante la revisión de una aplicación de desarrollo propio, la MAYOR preocupación para un auditor de SI es si:
A. el usuario realiza una solicitud de cambio y lo prueba en el ambiente de pruebas.

B. el programador codifica un cambio en el ambiente de desarrollo y lo prueba en el ambiente de pruebas.
C. el gerente aprueba una solicitud de cambio y luego lo revisa en el ambiente de producción.
D. el gerente inicia una solicitud de cambio y posteriormente lo aprueba.
Justificación:
A. Esta opción coincide con los principios de segregación de funciones. La segregación de funciones, como principio de seguridad, tiene como objetivo
principal la prevención de fraude y errores. Este objetivo se logra mediante la difusión de tareas y los privilegios asociados a un proceso de negocio
específico entre varios usuarios.
B. Esta opción coincide con los principios de segregación de funciones. La segregación de funciones, como principio de seguridad, tiene como objetivo
C. Esta opción coincide con los principios de segregación de funciones. La segregación de funciones, como principio de seguridad, tiene como objetivo
D. Poner en marcha y, posteriormente, aprobar una solicitud de cambio viola el principio de segregación de funciones.

~C:IS3A Certified
Syslems. Informalion
Auditor' DOMINIO 4-0PERACIONES, MANTENIMIENTO Y SOPORTE DE SISTEMAS DE INFORMACiÓN
A"¡SACA'~II~II00 - - - - - - - - - - - - -- -- - - - - - - - -- - ------------
AS4-18 En una situación de recuperación de desastres, ¿cuál de las siguientes es la métrica MÁS importante para asegurar que los datos se sincronizan
entre los sistemas críticos?
A. Objetivo de punto de recuperación (RPO)

B. Objetivo de tiempo de recuperación (RTO)
C. Capacidad de recuperación de servicio
o. Recuperación de escalabilidad de servicios
Justificación:
A. El establecimiento de un RPO común es más importante para asegurar que las interdependencias entre los sistemas están bien
sincronizados. Asegura que los sistemas no contengan datos de los diferentes momentos que pueden resultar tanto en operaciones contables
que no pueden conciliarse como en una pérdida de la integridad referencial.
B. Los RTO no son tan importantes para la sincronización, porque normalmente varían dependiendo del nivel de esfuerzo y los recursos necesarios
para restaurar un sistema.
C. La capacidad de recuperación de servicio mide la tolerancia de fallas debido a excepciones en los datos y la capacidad de reiniciar y recuperarse de
errores internos.
o. La escalabilidad de recuperación del servicio se refiere a las limitaciones de capacidad y las limitaciones que una solución de recuperación pueda
tener con relación a la configuración original del sistema.
AS4-19 ¿Cuál de las siguientes opciones mitiga MEJOR el riesgo de que los medios de respaldo que contienen información irremplazable se pierdan
o se roben durante el tránsito?
A. Asegurar que los medios estén encriptados.

B. Mantener una copia duplicada.
C. Mantener una cadena de custodia.
o. Asegurar que el personal esté unido.
Justificación:
A. Aunque una fuerte encriptación protege contra la divulgación, no mitigará la pérdida de datos irremplazables.
B. Los datos sensibles deben estar siempre respaldados antes de ser transmitidos o movidos. El respaldo de información sensible debe ser
tratado con las mismas consideraciones de control que los datos reales.
C. La cadena de custodia es un control importante, pero no mitigará una pérdida si un área bloqueada se divide y los medios se retiran o si los medios
se pierden mientras estaban bajo la custodia de un individuo.
D. La seguridad garantizada, aunque sea buena para prevenir el robo, no protegerá contra la pérdida o destrucción accidental.

DOMINIO 4-0PERACIONES, MANTENIMIENTO Y SOPORTE DE SISTEMAS DE INFORMACiÓN ~C:IS3A
, CcrUfIed Informallon
Syslllms, Audllllr'
~ftweN'~
AS4-20 ¿Cuál de los siguientes es el requisito MÁs importante para un proceso robusto de administración de cambios?
A. Cadena de custodia
B. Responsabilidad individual
e. Controles de entrada de datos
D. Segregación de funciones
Justificación:
A. La cadena de custodia es aplicable a las investigaciones forenses y del mantenimiento de la integridad de los datos.
B. La responsabilidad individual es importante, y esto normalmente se logra a través de la prevención de identificaciones de grupo. Sin embargo,
una buena gestión de cambios se basa en una separación de funciones incompatibles, para que una persona no pueda introducir un cambio sin la
participación de otros miembros del personal.
e. Los controles de entrada de datos incluyen listas de selección, verificaciones cruzadas, verificaciones de razonabilidad, totales de control,
verificaciones de caracteres permitidos, campos obligatorios, verificaciones de formatos y otros. Los controles de entrada de datos no son el
requisito más importante para un proceso de cambio de gestión contundente.
D. La segregación de funciones incompatibles es esencial para una buena gestión de cambios, porque la misma persona no debe iniciar,
aprobar y poner en práctica un cambio. La segregación de funciones, como principio de seguridad, tiene como objetivo principal la
prevención de fraude y errores. Este objetivo se logra mediante la difusión de tareas y los privilegios asociados a un proceso de negocio
AS4-21 Un auditor de SI está revisando el proceso de control de cambios para una aplicación de planificación de recursos empresariales (ERP). ¿Cuál
de los siguientes es el MEJOR método para probar cambios en los programas?
A. Seleccionar una muestra de solicitudes de cambio y revisarlos para su autorización.

B. Realizar un recorrido rastreando un cambio de programa de principio a fin.
e. Revisar una muestra de programas modificados que soportan las solicitudes de cambio.
D. Utilizar el software de consulta para analizar todos los boletos de cambio para los campos que faltan.
Justificación:
A. Seleccionar una muestra de boletos de cambio y revisarlos para autorizarlos ayuda a probar los controles de autorización; sin embargo, no identifica
los cambios de programa que se hicieron sin el apoyo de los boletos de cambio.
B. Real izar un recorrido ayuda al auditor de SI a entender el proceso, pero no asegura que todos los cambios se adhieran al proceso normal.
C. Dar trazabilidad a una muestra de programas modificados, que son soportados por solicitudes de cambio, es la mejor manera de probar la
administración de control de cambios. Este método es el mas probable que identifique los casos en aquellos cambios que fueron realizados
sin boletas de solicitudes de cambio.
D. Utilizar el software de consulta para analizar todos los boletos de cambio para los campos que faltan no identifica los cambios de programa que se
hicieron sin el apoyo de los boletos de cambio.

~C~ls3A ........±..
Certlfled InfommllOl1
SyslomsAU<lI\O(' DOMINIO 4-0PERACIONES, MANTENIMIENTO Y SOPORTE DE SISTEMAS DE INFORMACiÓN
- - - - ----- ---------------- -------------
AS4-22 Los cambios de emergencia que pasan por alto el proceso de cambio de controlnonnal son MÁS aceptables si:
A. la administración revisa y aprueba los cambios después de que han ocurrido.

B. los cambios son revisados por un compañero en el momento del cambio.
C. los cambios están documentados en el sistema de control de cambio por el departamento de operaciones.
D. la administración ha preaprobado todos los cambios de emergencia.
Justificación:
A. Debido a que la administración no siempre puede estar disponible cuando se produce un fallo del sistema, es aceptable para que los
cambios sean revisados y aprobados en un plazo razonable después de que se producen.
B. Aunque la revisión por parte de un compañero conlleva cierta responsabilidad, la gerencia debe revisar y aprobar todos los cambios, incluso si esa
revisión y aprobación ocurre después del hecho.
C. La documentación del caso no reemplaza la necesidad de que ocurra un proceso de revisión y aprobación.
D. No es una buena práctica de control para la administración hacer caso omiso de su responsabilidad preaprobando todos los cambios de emergencia
por adelantado sin revisarlos. Los cambios no autorizados podrían hacerse sin el conocimiento de la gerencia.
AS4-23 Una organización de comercio electrónico con un entorno tecnológico complejo cuenta con numerosos proyectos concurrentes. Esto a menudo
resulta en cambios en el sistema de producción. ¿Cuál es el enfoque MÁS adecuado para la administración de cambios en el sistema de
manera que se reduzcan al mínimo las interrupciones del sistema?
A. Dar prioridad a los cambios con un riesgo técnico bajo.

B. Coordinar la administración de versiones a través de proyectos y sistemas.
C. Automatizar la migración de código desde las bibliotecas de prueba a las bibliotecas de producción.
D. Postergar los cambios en los sistemas de clientes a ciclos de negocio más silenciosos.
Justificación:
A. Esto es aceptable como-estrategia a corto plazo. No obstante, los cambios más complejos no pueden postergarse indefinidamente y deben ser
gestionados con eficacia, sobre todo si se introducen por múltiples iniciativas de desarrollo. También se debe tener cuidado de que los proyectos
individuales no manipulen las evaluaciones de riesgos para adaptarse a su horario propio de desarrollo.
B. La administración de versiones coordinada a través de proyectos y sistemas es una estrategia adecuada a emplear en un entorno
complicado de sistema dinámico. Bajo esta opción, los cambios son empaquetados en versiones que se implementan de acuerdo a un
horario predeterminado. La determinación de qué cambios se incluyen en un comunicado se puede hacer de acuerdo a las prioridades
de negocio y técnicas. Con la gestión de versiones, el énfasis está en la coordinación de los cambios derivados de múltiples fuentes que
impactan múltiples sistemas interconectados. Este enfoque debería reducir el riesgo técnico y las posibilidades de interrupción del sistema.
C. Automatizar el movimiento de códigos es una buena práctica. Sin embargo, no aborda la cuestión fundamental de la coordinación de los cambios
simultáneos de múltiples fuentes que impactan los sistemas múltiples.
D. La postergación de cambios en los sistemas de los clientes no es un enfoque tan exhaustivo como la gestión coordinada de versiones. El entorno
de uso externo podría ser una consideración cuando se empacan los cambios en una autorización e implementación de la programación. Si bien
puede haber razones para poner en práctica los cambios durante los períodos más tranquilos de negocios (o al menos para evitar períodos de alto
estrés, tales como días feriados), otras veces pueden ser imperativos de negocio para implementar los cambios de los clientes del sistema lo más
rápido posible.

ISACA. Todos los derechos reservados,
~C:IS, M
CertHIed Information
Sysloms; Audllor"
M4~DA"~Dlm

ISACA. Tod08 108 daracho. re.arvad08.
e Ort"".lnformation
system~, Auditor·
AnISACA'Certlll'llioo
DOMINIO S-PROTECCiÓN DE LOS ACTIVOS DE INFORMACiÓN
- - - - - - - - - -- - - - -- - - - - - - - - - - - - - - - - - - -- - -
DOMINIO S-PROTECCiÓN DE LOS ACTIVOS DE INFORMACiÓN (30%)
AS5-1 Un auditor de SI quiere detenninar la eficacia de la gestión del acceso de usuario a una sala de servidores. ¿Cuál de las siguientes proporciona
la MEJOR evidencia de eficacia?
A. La observación de un evento registrado

B. La revisión del manual de procedimientos
C. Una entrevista al sector administrativo
D. Una entrevista con el personal de seguridad
Justificación:
A. La observación del proceso para restablecer el acceso de seguridad a la sala de servidores para un empleado y el registro posterior de este
caso proporciona la mejor evidencia de la adecuación del control de seguridad fisica.
B. Aunque la revisión del manual de procedimiento puede ser útil en la obtención de una comprensión general de un proceso, no es evidencia de la
eficacia de la ejecución de un control.
C. Aunque entrevistar al sector administrativo puede ser útil para lograr una comprensión general de un proceso, no es evidencia de la eficacia de la
ejecución de un control.
D. Aunque entrevistar al personal de seguridad puede ser útil para lograr una comprensión general de un proceso, no es evidencia de la eficacia de la
ejecución de un control.
AS5-2 Una organización con una historia de fuertes controles internos pennite el uso de unidades de bus serial universal (USB) para transferir los
datos entre oficinas, ¿Cuál de los siguientes es el MAYOR riesgo asociado al uso de estos dispositivos?
A. Los archivos no son respaldados

B. El robo de los dispositivos
C. El uso de los dispositivos para usos personales
D. La introducción de malware (software malicioso) en la red
Justificación:
A. Si bien esto es un riesgo, el robo de un dispositivo de encriptación es un riesgo mayor.
B. Dado que las unidades USB tienden a ser pequeñas, son susceptibles al robo o pérdida. Esto representa el mayor riesgo para la
organización.
C. El uso de las unidades USB para uso personal es una violación de la política de la compañía, sin embargo, este no es el mayor riesgo.
D. Los buenos controles generales de TI incluirán la exploración de las unidades USB en busca de malware (software malicioso), una vez que se
introducen en una computadora. El riesgo de malware (software malicioso) en un ambiente no tan robusto, no es tan grande como el riesgo de
pérdida o robo.

DOMINIO 5-PROTECCIÓN DE LOS ACTIVOS DE INFORMACiÓN ~C:IS,A Cert~1ed Informatlon
Systems Auditor'
¡'
AS5-3 ¿Cuál de las siguientes es la consideración de seguridad MÁS importante para una organización que quiere reducir su infraestructura
de SI trasladándose a los servidores proporcionados por un vendedor de plataforma como servicio (PaaS)?
A. Requerir a los usuarios de la nueva aplicación adoptar contraseñas específicas, de longitud mínima.
8. Implementar un firewall que monitoree el tráfico entrante con las configuraciones estándar de la organización.
C. Revisar la necesidad de encriptación de datos de aplicaciones almacenados y transmitidos.
D. Hacer que el vendedor del servicio sea responsable de la seguridad de las aplicaciones a través de los términos contractuales.
Justificación:
A. Requerir a los usuarios de aplicaciones mantener otra contraseña puede que no sea lo más popular. Una razón más fundamental es que muchos
proveedores de servicios en la nube exponen sus servicios a través de interfaces de programación de aplicaciones (APl). Estas API están
diseñadas para aceptar tokens, no contraseñas. Lo ideal es que utilicen un estándar abierto como Security Assertion Markup Language (SAML) o
WS-Federation para el intercambio de información de autenticación y autorización. Un esquema de autenticación necesita tener en cuenta el tipo de
usuarios de aplicación: empleados de la organización, empleados de las organizaciones asociadas, clientes, o una combinación de tipos de usuario.
Además, la tendencia creciente es que las aplicaciones Web puedan accederse por múltiples tipos de dispositivos. Por lo tanto, la organización puede
necesitar emplear un esquema de autenticación que "tenga su propia identidad". Un mecanismo apropiado (por ejemplo, un token de seguridad,
taIjetainteligente, contraseña única a través de servicios de mensajes cortos [SMS] o por teléfono) con base en un riesgo evaluado se debe utilizar
para confirmar la identidad del usuario.
8. En un modelo de computación en la nube PaaS, la seguridad de red sigue siendo responsabilidad del prestador del servicio en la nube. Debido a
que múltiples inquilinos utilizan la infraestructura del proveedor de servicios en la nube, la insistencia en una configuración de firewall específica
no es práctica, aunque puede ser posible llegar a un acuerdo con algunos arreglos en la negociación del contrato de servicio. La naturaleza de
"desparametrizar" de la computación en la nube aumenta la necesidad de implementar fuertes controles de seguridad en las aplicaciones que se
diseñan, prueban e implementan.
C. Con la computación en la nube, una aplicación no se ejecuta en un entorno de confianza de una organización. En cambio, se ejecuta
en la infraestructura compartida por otros inquilinos y es administrada por personas no empleadas por la organización. Por lo tanto,
dependiendo de la naturaleza de los datos, puede haber una mayor necesidad de confiar en la encriptación para proteger la privacidad.
Esto puede aplicarse no solo a los datos cuando se almacenan en la nube, sino también durante la transmisión. Se debe tener en cuenta
especialmente la naturaleza de los datos para comprender el grado de protección que se necesita. La encriptación puede aumentar la
complejidad y puede afectar el desempeño. También se debe considerar la posibilidad de utilizar controles compensatarios, por ejemplo, la
protección de datos almacenados a través de controles de acceso a bases de datos.
D. En un modelo de computación en la nube PaaS, el proveedor de servicios proporciona la infraestructura tecnológica y los marcos de desarrollo.
Aunque los requisitos para la seguridad de la infraestructura básica pueden ser discutidos y posiblemente incluidos como condiciones contractuales,
la responsabilidad de construir una aplicación segura recae en la organización del cliente.
AS5-4 ¿Cuál de las siguientes es la MAYOR preocupación asociada con el uso de la computación peer-to-peer?
A. Infección por virus

8. Fuga de datos
C. Problemas de rendimiento de la red
D. Uso de software no autorizado
Justificación:
A. Si bien la computación peer-to-peer aumenta el riesgo de infección por virus, el riesgo de fuga de datos es más grave, especialmente si contiene
datos del propietario o de propiedad intelectual.
B. La computación peer-to-peer puede compartir el contenido de una unidad de disco duro del usuario a través de Internet. El riesgo de que
datos sensibles puedan ser compartidos con los demás es la mayor preocupación.
C. La computación peer-to-peer puede utilizar más ancho de banda de la red y, por lo tanto, puede crear problemas de rendimiento. Sin embargo, la
fuga de datos es un riesgo más grave.
D. La computación peer-to-peer se puede utilizar para descargar o compartir software no autorizado, que los usuarios pueden instalar en sus
computadoras personales (PC) a menos que otros controles lo impidan. Sin embargo, la fuga de datos es un riesgo más grave.

e "' . system~ Auditor' ~~
AIotsACA"CMlllkalilrl - - - -- - -- -
DOMINIO 5-PROTECCIÓN DE LOS ACTIVOS DE INFORMACiÓN
- - - - - -- - - - - - - - - - - - - - - - - - - - - - -
AS5-5 Existe la preocupación de que el riesgo de acceso no autorizado pueda aumentar después de la implementación de un proceso de single
sign-on (SSO). Para prevenir el acceso no autorizado, la acción MÁs importante es:
A. garantizar que todos los intentos de autenticación fallidos sean monitoreados.

B. revisar la bitácoras con regularidad.
C. asegurar que todas las cuentas no utilizadas estén desactivadas.
D. imponer una política fuerte de contraseñas.
Justificación:
A. Asegurar que todos los intentos de autenticación fa1\idos sean monitoreados es una buena práctica; sin embargo, una política rigurosa de
contraseñas es un mejor control preventivo.
B. Revisar las bitácoras puede aumentar la probabilidad de detectar acceso no autorizado, pero puede no ser efectivo en la prevención de accesos
no autorizados.
C. Garantizar que todas las cuentas no utilizadas estén desactivadas es importante; sin embargo, una política rigurosa de contraseña es un mejor
control preventivo.
D. SSO es un gran impulso de productividad para los usuarios y la organización de TI, dado que los usuarios no necesitan ingresar
identificaciones de usuario y contraseñas en varias ocasiones. SSO reduce significativamente el número de llamadas a la asistencia técnica
de TI (help desk) en relación con las contraseñas olvidadas. Para cualquier sistema de autenticación, incluyendo soluciones de SSO, una
política estricta de contraseña es crucial.
AS5-6 ¿Qué control se debiera implementar en torno a una aplicación de banca por Internet para mitigar el riesgo de fraude interno?
A. Las transacciones deben ser procesadas solo si se firman con la clave privada del cliente emitida por una autoridad certificadora de terceros.
B. Las transacciones financieras deben requerir una contraseña única adicional generada por un token en posesión solamente de clientes autorizados.
C. Se debiera utilizar un cifrado más robusto para la comunicación cliente-servidor.
D. Las transacciones no deberían procesarse si estas exceden un límite de cantidad predefinido que ha establecido el cliente.
Justificación:
A. El fraude puede ser cometido a través de la explotación de las vulnerabilidades del proceso de registro, tales como la falta de autorización
y verificación de las solicitudes de los clientes para el servicio. Los usuarios con derechos administrativos también pueden cometer fraude
interno mediante la generación de mensajes no autorizados de pago. Si la aplicación valida las operaciones con base en la clave pública del
cliente emitido por un tercero, el riesgo de fraude interno se ve mitigado porque la clave privada no está disponible para el personal interno.
B. Los tokens son asignados a las cuentas de banca por Internet por las oficinas de la cuenta y no para prevenir el fraude interno.
C. Encriptar la comunicación cliente-servidor no impedirá el fraude interno, dado que la encriptación se puede hacer a nivel de aplicación.
D. El fraude puede ser cometido dentro del límite de cantidad, o el límite puede ser cambiado por los administradores de la aplicación antes de
cometer el fraude.

DOMINIO 5-PROTECCIÓN DE LOS ACTIVOS DE INFORMACiÓN ~C~IS3A CerllfIed Il1formaOon
Syslllms Auditor"
........ c;;L
AS5-7 ¿Cuál de las siguientes opciones mitiga MEJOR el riesgo de revelar información confidencial a través del uso de las redes sociales?
A. Proporcionar capacitación de concientización sobre seguridad

S. Requerir una política aprobada de uso aceptable
C. Monitorear la utilización de los medios sociales
D. Prohibir el uso de medios sociales a través de controles de red
Justificación:
A. Proporcionar capacitación de concientización sobre seguridad es el mejor método para mitigar el riesgo de revelar la información
confidencial en sitios de redes sociales. Es importante recordar que los usuarios pueden acceder a estos servicios a través de otros medios,
tales como teléfonos móviles y computadoras personales, por lo tanto, la capacitación de concientización es más crítico.
S. Requerir una política aprobada de uso aceptable puede ser un buen control. Sin embargo, si los usuarios no son conscientes del riesgo, esta política
puede que no sea efectiva.
C. Supervisar la utilización de medios sociales a través del uso de un servidor proxy que registra los sitios web que visitan los usuarios no es un control
efectivo, dado que los usuarios pueden acceder a estos servicios a través de otros medios, tales como teléfonos móviles y computadoras personales.
D. Prohibir el uso de medios sociales a través de controles de red no es un control efectivo, dado que los usuarios pueden acceder a estos servicios a
través de otros medios, tales como teléfonos móviles y computadoras personales.
AS5-8 Un auditor de SI nota que los intentos fallidos de inicio de sesión en un sistema financiero principal se registran automáticamente y se
mantienen durante un año. El auditor de SI debe concluir que se trata de:
A. un control preventivo efectivo.

S. un control detectivo válido.
C. un control no adecuado.
D. un control correctivo.
Justificación:
A. La generación de una bitácora de actividad no es un control preventivo, dado que no puede prevenir el acceso inapropiado.
S. La generación de una bitácora de actividad no es un control detectivo, dado que no ayuda en la detección de un acceso inadecuado a menos que
sea revisada por personal apropiado.
C. La generación de una bitácora de actividad no es un control por sí mismo. Es la revisión de dicha bitácora lo que hace de la actividad
un control.
D. La generación de una bitácora de actividad no es un control correctivo, dado que no corrige el efecto del acceso inapropiado.

~C:IS,M SVlilemS, Audllor'
CerUlled Inloljll8UOn DOMINIO 5-PROTECCIÓN DE LOS ACTIVOS DE INFORMACiÓN
¡
ft f!Ll!;"· &rllltttlll;' - - - - - - - - - -- - - - - - - - - - - - - - - - - - - - - - - -- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
AS5-9 Una organización ha establecido una red de invitados para el acceso de visitantes. ¿Cuál de las siguientes debería ser de MAYOR
preocupación para un auditor de SI?
A. No se muestra una pantalla de inicio de sesión para los usuarios invitados.

B. La red de invitados no está separada de la red de producción.
e. Los usuarios invitados que están conectados no están aislados unos de otros.
D. Una técnica de un solo factor de autenticación se utiliza para permitir el acceso.
Justificación:
A. El uso de un portal web cautivo, que muestra una pantalla de inicio de sesión en el navegador web del usuario, es una mejor práctica para autenticar
a los clientes. Sin embargo, si la red de invitados no está separada de la red de producción, los usuarios podrían introducir programas maliciosos
(malware) y potencialmente obtener acceso inadecuado a los sistemas y la información.
B. La implicación de esto es que, los invitados tienen acceso a la red de la organización. Permitir a usuarios no confiables conectarse a la red
de la organización podría introducir programas maliciosos (malware) y potencialmente permitir a estas personas el acceso inadecuado a los
sistemas y la información.
e. Hay ciertas plataformas en las que es permisible para los invitados interactuar unos con otros. Además, los invitados pueden ser advertidos de
utilizar solo los sistemas asegurados y se puede crear una política que cubra la interacción entre los invitados.
D. Aunque se prefiere una técnica de autenticación de múltiples factores, un método-de autenticación de un solo factor debiera ser adecuado si se
aplica correctamente.
AS5-10 ¿Cuál de las siguientes opciones proporciona la MAYOR garantía para la encriptación de contraseñas de la base de datos?
A. Algoritmo de seguridad hash-256 (SHA-256)

B. Estándar de Encriptación Avanzada (AES)
C. Secure Shell (SSH)
D. Estándar de Encriptación de Datos triple (DES)
Justificación:
A. A pesar de que las funciones hash se utilizan para proteger las contraseñas, no es un procedimiento de encriptación.
B. El uso de AES es un algoritmo de encriptación seguro, ideal para la encriptación de contraseñas.
e. SSH solo se puede utilizar para encriptar contraseñas que están siendo transmitidas. No puede encriptar los datos en reposo.
D. El DES triple es un método de encriptación válido; sin embargo, el AES es lill algoritmo de encriptación más fuerte y reciente.

ISACA. Todol 10B derechos reservados.
DOMINIO 5-PROTECCIÓN DE LOS ACTIVOS DE INFORMACiÓN ~C~IS, " CnrtlflCd lnlnnnatlan
Syslo¡ns AIIdllo,'
h l,",~.r.t.;r:ll[al..
AS5-11 Un hotel ha colocado una computadora en el vestíbulo para ofrecer a los invitados acceso a Internet. ¿Cuál de las siguientes opciones
representa el MAYOR riesgo de robo de identidad?
A. Las cookies del navegador web no se eliminan automáticamente.

B. La computadora no está configurada correctamente.
C. Las actualizaciones del sistema no se han aplicado en la computadora.
D. No está activada la sesión de desconexion.
Justificación:
A. Si las cookies del navegador web no se eliminan automáticamente, puede que sea posible determinar los sitios web que un usuario ha accedido. Sin
embargo, si las sesiones no cierran, es más fácil que ocurra el robo de identidad.
B. Si la PC no está configurada correctamente y no tiene software antivirus instalado, podría haber un riesgo de virus o infección de malware (software
malicioso). Esto podría provocar el robo de identidad. Sin embargo, si las sesiones no se cierran, es más fácil que ocurra el robo de identidad.
C. Si las actualizaciones del sistema no se han aplicado, podría haber un mayor riesgo de virus o infección de malware (software malicioso). Esto
podría provocar el robo de identidad. Sin embargo, si las sesiones no se cierran, es más fácil que ocurra el robo de identidad.
D. Si una sesión autenticada está inactiva y desatendida, puede ser secuestrada y utilizada para fines ilegales. Podría entonces ser dificil
establecer el intruso, debido a que se utilizó una sesión legítima.
AS5-12 Un auditor de SI que revisa los controles de autenticación estaría MÁS preocupado si:
A. las cuentas de usuario no son bloqueadas después de cinco intentos fallidos.

B. las contraseñas pueden ser reutilizadas por los empleados dentro de un marco de tiempo definido.
C. los administradores de sistema utilizan credenciales de acceso compartido.
D. la caducidad de la contraseña no está automatizada.
Justificación:
A. Si las cuentas de usuario no se bloquean después de varios intentos fallidos, un ataque de fuerza bruta podría ser utilizado para acceder al sistema.
Si bien esto es un riesgo, un usuario típico tendría acceso limitado al sistema en comparación con un administrador.
B. La reutilización de las contraseñas es un riesgo. Sin embargo, el uso de credenciales de acceso compartido por los administradores es un riesgo aún
mayor.
C. El uso de las credenciales de acceso compartido hace imposible encontrar a los responsables. Esto es particularmente importante para
cuentas privilegiadas/de administrador.
D. Si la caducidad de la contraseña no está automatizada, lo más probable es que los empleados no cambien sus contraseñas con regularidad. Sin
embargo, esto no es tan grave como las contraseñas que se comparten, y el uso de credenciales de acceso compartido de los administradores es un
riesgo más grave.

~C~IS, Certified Informatlon
M Systems, Auditor' DOMINIO 5-PROTECCIÓN DE LOS ACTIVOS DE INFORMACiÓN
~ ~I~r..¡ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -- --
AS5-13 ¿Cuál de las siguientes opciones encripta MEJOR los datos en los dispositivos móviles?
A. Criptografia de Curva Elíptica (ECC)

B. Estándar de Encriptación de Datos (DES)
C. Estándar de Encriptación Avanzada (AES)
D. El algoritmo blowfish
Justificación:
A. La ECC requiere recursos limitados de ancho de banda y es adecuado para la encriptación de dispositivos móviles.
B. El DES utiliza menos poder de procesamiento en comparación con el AES, pero la ECC es más adecuada para la encriptación de datos en
dispositivos móviles.
C. El AES no se puede utilizar para encriptar dispositivos móviles, porque consume mucho poder de procesamiento.
D. El uso del algoritmo blowfish consume mucho poder de procesamiento.
AS5-14¿Cuál de las siguientes opciones se puede utilizar para ayudar a asegurar la confidencialidad de los datos transmitidos?
A. Encriptar la síntesis del mensaje con la clave privada del remitente.

B. Encriptar la clave de sesión con la clave pública del remitente.
C. Encriptar el mensaje con la clave privada del remitente.
D. Encriptar la clave de sesión con la clave pública del receptor.
Justificación:
A. Encriptar la síntesis del mensaje asegurará la autenticación y el no repudio.
B. Encriptar la clave de sesión hará que el mensaje sea accesible solo para el remitente.
C. Idealmente un remitente no debe tener acceso a la clave privada de un receptor.
D. El acceso a la clave de sesión solo puede obtenerse utilizando la clave privada del receptor.
AS5-15 ¿Cuál de los siguientes métodos de prueba de penetración es MÁS efectivo en el descubrimiento de vulnerabilidades relacionadas con la
capacidad de respuesta a incidentes?
A. Externo
B. Doble-ciego
C. Interno
D. Ciego
Justificación:
A. La prueba externa es un intento de intrusión lanzado desde fuera del perímetro de la organización, pero no tiene en cuenta la información que se
conoce por el evaluador o el objetivo.
B. En la prueba-doble ciego, el equipo de respuesta a incidentes no está informado de que una intrusión está a punto de ocurrir para evaluar
su capacidad de respuesta. Además, las pruebas de penetración no se dan antes de conocer la infraestructura o el objetivo.
C. Las pruebas internas se inician desde adentro de la red de la organización. El equipo de respuesta a incidentes podría haber estado informado con
anterioridad.
D. En las pruebas ciegas, no se le proporciona al evaluador información sobre la red de la organización.

ISACA. Todos los derechos reservados .
DOMINIO 5-PROTECCIÓN DE LOS ACTIVOS DE INFORMACiÓN ~C~IS,A' Certifled
,
Auditor'
AIIIS.'CA'ClrtII\elIIln
AS5-16 El riesgo de dumpster diving (buscar en el basurero) se mitiga MEJOR mediante:
A. la implementación de capacitación de concientización de seguridad.

B. la colocación de contenedores de trituración en las salas de copia.
C. el desarrollo de una política de eliminación de medios.
D. la colocación de trituradoras de papel en las oficinas individuales.
Justificación:
A. Dumpster diving (buscar en el basurero) se utiliza para robar documentos o soportes informáticos que no fueron desechados
adecuadamente. Los usuarios deben estar capacitados para conocer el riesgo de descartar descuidadamente documentos sensibles
y otros elementos.
B. Los contenedores de trituración pueden no ser utilizados correctamente si los usuarios no son conscientes de las técnicas de seguridad adecuadas.
C. Una política de eliminación de los medios es una buena idea; sin embargo, si los usuarios no son conscientes de la política puede no ser efectiva.
D. Los trituradores pueden no ser utilizados correctamente si los usuarios no son conscientes de las técnicas de seguridad adecuadas.
AS5-17 Al auditar una arquitectura de comercio electrónico, un auditor de SI nota que los datos maestros de clientes se almacenan durante seis meses
después de la fecha de la transacción más reciente y luego son eliminados a causa de la inactividad. ¿Cuál de las siguientes debería ser la
preocupación PRINCIPAL para el auditor de SI?
A. La disponibilidad de datos de los clientes

B. La integridad de los datos de los clientes
C. La confidencialidad de los datos de los clientes
D. El rendimiento del sistema de almacenamiento
Justificación:
A. La disponibilidad de los datos de los clientes puede verse afectada durante un corte de conexión a Internet, pero esta es una preocupación menor
que la confidencialidad.
B. La integridad de los datos del cliente se ve afectada solo si los controles de seguridad son lo suficientemente débiles como para permitir
modificaciones no autorizadas de los datos y ser rastreados por el registro de cambios. La confidencialidad de los datos es una preocupación mayor.
C. Debido a su exposición a Internet, el almacenamiento de datos de los clientes durante seis meses plantea preocupaciones relativas a la
confidencialidad de los datos de los clientes.
D. El rendimiento del sistema de almacenamiento puede ser una preocupación debido al volumen de datos. Sin embargo, el mayor problema es que la
información está protegida.
AS5-18 ¿Cuál de las siguientes opciones describe MEJOR un control de seguridad preventivo de información?
A. Una política de seguridad de información

B. Una 10 de usuario y contraseña únicas
C. Un sistema de detección de intrusos (lOS).
D. Una alerta de registro del sistema de intentos de acceso no autorizados
Justificación:
A. Las políticas pueden considerarse pautas o controles leves. A pesar de que son importantes, no previenen el acceso no autorizado. Además, esta
respuesta no indica si la política de control de acceso está aprobada por los empleados para asegurar el conocimiento de los requerimientos de la
política.
B. Una ID de usuario y contraseña únicas previenen que usuarios no autorizados puedan acceder a los recursos criticos del sistema.
C. Un lOS es un sistema de seguimiento o control detectivo. El acceso no autorizado no se previene, los operadores del sistema son alertados después
de que ha ocurrido el acceso no autorizado.
D. Una alerta de registro del sistema es un control detectivo. El acceso no autorizado no se previene, los operadores del sistema son alertados después
de que han ocurrido los intentos de acceso.

~C:ls3A CertlJled, rnrormatlon
Systoms Auditor' DOMINIO S-PROTECCiÓN DE LOS ACTIVOS DE INFORMACiÓN
.... tI ~ CA. (fItlw.I., - - - - -- - - - - - - - - - - - - - - -- - - - -- -- - - - - - - - - -
AS5-19 Un auditor de SI está revisando la lista de control de acceso (ACL) de los usuarios de red activos. ¿Cuál de los siguientes tipos de
identificaciones de usuario deben ser de MAYOR preocupación?
A. Identificaciones de usuario de prueba o capacitación

B. Identificaciones compartidas
C. Identificaciones administrativas
D. Identificaciones de usuarios de antiguos empleados
Justificación:
A. Las identificaciones de usuario de prueba o en capacitación pueden ser una preocupación. Sin embargo, es poco probable que sus privilegios de
acceso sean mayores que los de un usuario real, y por lo tanto, suponen un menor riesgo global.
B. El uso de identificaciones compartidas, aunque no es una buena práctica, no es un riesgo tan grande como tener un empleado despedido con acceso
a la red. Puede haber situaciones en las que una identificación compartida es necesaria. El riesgo con las identificaciones compartidas es que no se
puede establecer la rendición de cuentas de los responsables.
C. Las identificaciones administrativas se encuentran comúnmente en una red y no son motivo de preocupación.
D. Si la identificación de un usuario de la red no está desactivada al momento de la terminación, el usuario u otra persona no autorizada
podría potencialmente obtener acceso a la red. Las identificaciones de usuario de empleados antiguos suponen el mayor riesgo porque los
usuarios pueden acceder a la red a través de Internet. Además, muchas aplicaciones se basan en las credenciales de red para identificar y
autenticar el acceso.
AS5-20 Un auditor está llevando a cabo una auditoría de los procedimientos de seguridad informática de respuesta a incidentes para una organización
financiera de gran tamaño. ¿Cuál de las siguientes sería la MAYOR preocupación del auditor de SI?
A. La asistencia técnica de TI (help desk) no está capacitada para contener y resolver incidentes de seguridad informática.
B. Los procedimientos de respuesta a incidentes de seguridad informática no identifican un enlace a la alta gerencia.
C. Los usuarios finales no están capacitados para identificar e informar sobre incidentes de seguridad informática.
D. Los incidentes de seguridad informática no se registran en un repositorio centralizado.
Justificación:
A. Mientras que el personal de asistencia técnica de TI (help desk) debe ser consciente de los problemas de seguridad informática, la contención y la
resolución no es su responsabilidad. El equipo de respuesta a incidentes de seguridad informática es un equipo de especialistas independientes de la
asistencia técnica de TI (help desk), que está capacitado para manejar incidentes de seguridad informática.
B. La falta de enlace con la alta gerencia es una preocupación, debido a que los incidentes de seguridad informática importantes deberían ser
reportados a la alta gerencia lo antes posible. Sin embargo, esta no es una preocupación tan grande como la falta de capacitación del usuario final
para identificar y reportar incidentes de seguridad informática.
C. Los usuarios finales que están capacitados para identificar y reportar los incidentes de seguridad son fundamentales para el éxito de la
respuesta a incidentes de seguridad informática. El mayor riesgo de no hacer frente a un incidente de seguridad informática es que los
usuarios pueden fallar al identificar un acontecimiento de importancia y, por lo tanto, pueden no informarlo. Esto puede causar graves
incidentes de seguridad informática significativos pasen inadvertidos y/o mal direccionados.
D. La falta de un repositorio centralizado para registrar los incidentes de seguridad informática es una preocupación. Sin embargo, esta no es una
preocupación tan grande como la falta de capacitación del usuario final para identificar y reportar incidentes de seguridad informática.

DOMINIO 5-PROTECCIÓN DE LOS ACTIVOS DE INFORMACiÓN ~C:IS,A Certified Info(matlDll
Systems, Auditor'
.".~~!.u..
AS5-21 Los usuarios que comparten las credenciales de acceso presentan una falta de:
A. responsabilidad,
B. disponibilidad.
C. autenticación.
D, autorización.
Justificación:
A. Las credenciales de acceso compartidas no permiten la rendición de cuentas de los responsables. La responsabilidad es la capacidad de
hacer corresponder una determinada actividad o incidente con la parte responsable.
S. La disponibilidad, en lo que respecta a la seguridad de la información, es el concepto de que los sistemas y los datos están disponibles cuando sean
necesarios, La disponibilidad no se ve afectada por las credenciales de acceso compartido.
C. La autenticación es el acto de verificar la identidad de un usuario, sistema o servicio con el fin de determinar su elegibilidad para acceder a la
información computarizada.
D, La autorización aborda la aprobación de acceso al sistema.
AS5-22 ¿Cuál de los siguientes es el control de acceso MÁs efectivo para ayudar a asegurar la confidencialidad?
A. Control de acceso a la red (NAC)

S. Infraestructura de clave pública (PKI)
C. Control de acceso discrecional (DAC)
D, Control de acceso obligatorio (MAC)
Justificación:
A. NAC está al nivel de la red y limita el acceso al sistema a una red,
S. PKI se utiliza para la encriptación de clave pública/clave privada. Mientras que la PKI puede ser almacenada en el mecanismo de autorización por sí
misma, no es un control de acceso.
C. DAC es una forma de restringir el acceso a objetos basados en la identidad de los sujetos y/o de los grupos a los que pertenecen. Los controles son
discrecionales en el sentido de que un individuo con WI cierto permiso de acceso es capaz de pasar ese permiso (quizás indirectamente) a cualquier
otro individuo.
D. El MAC es aplicado por los administradores y no puede ser cambiado por los usuarios finales. Este es un típico y efectivo control preventivo
de acceso.
AS5-23 Un auditor de SI está revisando un servidor web corporativo. ¿Cuál de las siguientes seria la MAYOR preocupación del auditor de SI?
A. No se aplican los parches del sistema.

S. No se accede al servidor a través de una red privada virtual (VPN).
C. Las bitácoras del servidor no están siendo capturados,
D. La traducción de direcciones de red no está habilitada.
Justificación:
A. Los servidores web deben tener parches actualizados, dado que son accesibles a Internet y propensos a ser atacados.
S. El servidor no es accesado normalmente a través de una red privada virtual (VPN) porque el servidor web contiene información pública.
C. Mientras el registro es importante, la falta de parches del sistema es una cuestión más importante.
D. La traducción de direcciones de red no tiene ningún impacto en la seguridad del servidor y, por lo tanto, no es una preocupación.

ISACA, Todos los derechos reservados.
~C~IS3A S}>DllIms Infl!llTlillioll
Certified AtI(ilIor'
ulWNJtlnlt.o.& --------------------------------------
DOMINIO 5-PROTECCIÓN DE LOS ACTIVOS DE INFORMACiÓN
AS5-24 Un auditor de SI está revisando el proceso de los dispositivos de red de administración remota a través de Internet de una gran institución
financiera. El auditor de SI debe estar MÁs preocupado si:
A. se utilizan credenciales compartidas.

B. no se muestra ningún banner de acceso.
C. el acceso Telnet está activado.
D. las bitácoras de dispositivos no están siendo capturadas.
Justificación:
A. Las credenciales compartidas para los dispositivos de red no penniten encontrar a los responsables. Sin embargo, el uso de Telnet es un
riesgo mayor.
8. Nonnalmente, un banner de acceso debe indicarle al personal no autorizado que el acceso está prohibido. La falta de un banner es una
preocupación. Sin embargo, el uso de Telnet es un riesgo mayor.
C. El uso de Telnet a través de Internet no es seguro, dado que no está encriptado y es propenso a la intrusión. Se debe utilizar un método
más seguro, como Secure Shell (SSH).
D. Las bitácoras del dispositivo deben ser capturadas y revisadas como un control de seguridad. Sin embargo, el uso de Telnet es un riesgo mayor.
AS5-25 ¿Cuál de las siguientes sería la MAYOR preocupación para una organización que está migrando desde su red de área local (LAN) a una
red totalmente inalámbrica?
A. La autenticación de usuarios inalámbricos

B. La interceptación de infonnación de la compañía
C. Personal debidamente capacitado para apoyar a la red inalámbrica
D. La interceptación de la señal inalámbrica fuera de los límites del establecimiento
Justificación:
A. La autenticación de usuarios inalámbricos es un control necesario; sin embargo, la autenticación por sí misma no proporciona la confidencialidad de
la infonnación de la compañía en una red inalámbrica sin encriptación configurada correctamente.
B. La interceptación de la información de la compañía sería la principal preocupación en el diseño de redes inalámbricas. Se deben configurar
adecuadamente la encriptación inalámbrica, la autenticación robusta y el monitoreo para asegurarse de que la confidencialidad de la
información de la compañía en la red inalámbrica se mantenga y no se comprometa por personas no autorizadas.
C. El personal de TI que da soporte a la red alámbrica puede necesitar capacitación adicional para apoyar adecuadamente tanto a los usuarios de LAN
inalámbrica como de la infraestructura. Sin embargo, la mayor preocupación en este caso es la interceptación de la información de la compañía.
D. Si bien el diseño de la red inalámbrica debe asegurarse de que la transmisión de la señal inalámbrica de LAN se mantenga al mínimo, la
propagación de las señales fuera del edificio no se pueden prevenir sin controles extremadamente costosos, como las películas de radiofrecuencia
(RF) para bloquear ventanas y el blindaje. Los controles de seguridad como la encriptación y la autenticación robusta mitigan el riesgo relacionado
con la interceptación de las señales inalámbricas de LAN, porque los datos de la red se protegen por medio de estos controles.

DOMINIO 5-PROTECCIÓN DE LOS ACTIVOS DE INFORMACiÓN ~C~IS, M CnrtlrlecllnronnaUIll1
Systams Audllar"
ARI Cl. JLIn1I11
AS5-26 ¿Cuál de las siguientes es la PRINCIPAL razón por la cual una organización debe tener un plan de respuesta a incidentes? El plan ayuda a:
A. asegurar la pronta recuperación de las interrupciones del sistema.

B. contener los costos relacionados con el mantenimiento de las capacidades del plan de recuperación de desastres (DRP).
C. asegurar que los clientes sean prontamente notificados sobre cuestiones como las violaciones de seguridad.
D. minimizar el impacto de un evento adverso.
Justificación:
A. Los planes de respuesta a incidentes generalmente tratan con una amplia gama de cuestiones posibles, pero no son un sustituto de un DRP o un plan
de continuidad de negocio (BCP). El objetivo principal de un DRP, no el plan de respuesta a incidentes, es restaurar sistemas de TI a un
estado operable.
B. Un plan efectivo de respuesta a incidentes puede minimizar el daño a la organización, lo que minimiza los costos, pero el propósito principal
del plan de respuesta a incidentes es minimizar los daños. Los posibles daños podrían incluir indicadores no financieros, tales como daño a la
reputación de una compañía.
C. Mientras que un plan de respuesta a incidentes incluye elementos como cuándo y cómo ponerse en contacto con los clientes acerca de un incidente
significativo, el objetivo principal del plan es reducir al mínimo el impacto.
D. Un plan de respuesta a incidentes ayuda a minimizar el impacto de un incidente, dado que proporciona una respuesta controlada a
los incidentes. Las etapas del plan incluyen planificación, detección, evaluación, contención, erradicación, escalamiento, respuesta,
recuperación, presentación de informes, revisión post-incidente y revisión de las lecciones aprendidas.
AS5-27 Un grupo de desarrollo está diseñando una aplicación de Internet que acepta pedidos de los clientes. ¿Cuál de las siguientes características es
una GRAN preocupación durante la revisión de la etapa de diseño?
A. La inclusión de la información técnica en los mensajes de error

B. El uso de procedimientos almacenados para manejar los procesos de transacción
C. La revalidación de entrada del lado del servidor
D. Los controles que restringen el acceso a los objetos del sistema
Justificación:
A. Las aplicaciones expuestas a Internet no deben incluir detalles técnicos en mensajes de error, dado que podrían proporcionar a los
atacantes información acerca de las vulnerabilidades.
B. Utilizar procedimientos almacenados es una buena práctica, debido a que la transacción se completa en un ambiente cerrado.
C. Revalidar la entrada de usuario en el servidor es una buena práctica para asegurarse de que no haya ningún código malicioso o secuencias de
comandos enviados desde la máquina del cliente.
D. Generalmente, un opción es minimizar el acceso directo a los objetos del sistema, tales como archivos, directorios, bases de datos y y otros ítems.

~C:IS, H
Cortllltld '"formatlQn
SystO",S, AL01Ilor" DOMINIO 5-PROTECCIÓN DE LOS ACTIVOS DE INFORMACiÓN
Ull,11" ... ~rlhUI'" - -- - - -- - -- - -- - - -- -- - - - - - -- - -----------
AS5-28 En una organización financiera que se ocupa de los datos de clientes de alta sensibilidad, se le pide a un auditor de SI que fonnule
recomendaciones para la comunicación de correo electrónico seguro. ¿Cuál es la recomendación MÁS apropiada?
A. Establecer claves privadas con clientes para encriptar el correo electrónico e intercambiar frases de paso.
B. Requerir a los empleados utilizar la finna digital al enviar correo electrónico.
C. Establecer pares de clave pública/privada con clientes para encriptar correos electrónicos.
D. Requerir a los empleados usar autenticación de dos factores antes de enviar correos electrónicos.
Justificación:
A. Establecer las claves privadas con contraseñas previamente compartidas es una opción, pero no es la mejor. La gestión de cambios de contraseña
toma mucho tiempo, y no existe una autoridad de confianza para dar fe de que la contraseña es realmente emitida.
B. Las finnas digitales detenninan de manera concluyente el remitente del correo electrónico y cualquier cambio no autorizado en el mensaje; sin
embargo, encriptan el correo electrónico, lo que hace que los contenidos sean legibles para cualquier parte interceptora.
C. Los pares de clave pública/privada son la mejor manera de proteger las comunicaciones de correo electrónico y verificar la autenticidad
de los remitentes. También aseguran que solo los destinatarios puedan descifrar el correo electrónico. Además, las claves públicas/privadas
que se generan por una autoridad de certificación de confianzagarantizan una comunicación genuina.
D. La autenticación de dos factores pennite a los empleados conectarse de fonna segura; sin embargo, el correo electrónico no está encriptado y,
por lo tanto, es susceptible a ser leído o modificado por una parte interceptora.
AS5-29 Un mensaje finnado con una finna digital no puede ser repudiado por el emisor, porque una finna digital:
A. autentica la identidad del remitente utilizando la infraestructura de clave pública (PKI).

B. utiliza un algoritmo hash para garantizar que el contenido del mensaje es válido.
C. no se pueden copiar en otro mensaje.
D. autentica contenidos y el remitente en el momento de la finna.
Justificación:
A. La finna digital valida tanto la identidad del remitente como el contenido.
B. Las finnas digitales tienen características de integridad para asegurar que el contenido del mensaje no ha cambiado, lo que previene que un atacante
modifique y envíe el mensaje por sí mismo. Esta es una propiedad fundamental de cualquier esquema de finna.
C. Mientras que un atacante podría copiar una finna digital en otro mensaje, ese mensaje nuevo no pasará la validación cuando se analiza por el
receptor.
D. Las firmas digitales para el remitente son avaladas por la autoridad certificadora y pueden ser verificadas por el receptor, por lo tanto, no
es posible el repudio. Además, el mecanismo de firma digital garantiza la integridad del contenido del mensaje mediante la creación de un
hash de una vía, tanto en el origen como en el destino, y luego comparando los dos.

DOMINIO 5- PROTECCiÓN DE LOS ACTIVOS DE INFORMACiÓN ~C:'s3A certnled
Systems, Inlormatlon
Auditor'
AnISACA"etrtllel lloil
AS5-30 Un auditor de SI que realiza una revisión de la red se preocupa que las vulnembilidades dentro de la solución de acceso remoto podrían
permitir a un atacante el acceso a la intranet con los privilegios de un recurso local. ¿Qué tipo de prueba de penetración es MÁs adecuado
pam gamntizar que tal ataque no causará un daño significativo?
A. Externo
B. Interno
C. Ciego
D. Objetivo
Justificación:
A. La prueba externa se utiliza para probar los ataques. También se utiliza para controlar los intentos de evasión en el perímetro de la red de destino
provenientes desde afuem del sistema de destino, por ejemplo, Internet.
B. Prueba interna se refiere a ataques y a intentos de evadir los controles en el objetivo desde dentro del perímetro. El objetivo principal es
identificar lo que sucedería si el perímetro de la red externa está comprometido con éxito o si un usuario no autorizado dentro de la red
pone en peligro la seguridad de un recurso específico en la red. En este caso, el método de prueba interna es el tipo más apropiado de las
pruebas de penetración.
C. Las pruebas ciegas son utilizadas por un evaluador de penetración que no tiene conocimiento del sistema de información de destino.
D. Las pruebas de destino se utilizan cuando se les proporciona al equipo de TI y al evaluador información relacionada con el objetivo y el diseño
de la red.

e ... ~-
SYB("n~Audltor'
~.1'oh';~~
_ _ _ __ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ __ PRUEBA POSTERIOR
PRUEBA POSTERIOR
.-
Si desea tomar una prueba posterior para determinar sus fortalezas
y debilidades, el Ejemplo de examen comienza en la página 53
. O~
... e
y la hoja de respuestas del examen comienza en la página 73.
Puede calificar su prueba posterior con la Clave de Respuestas y
'--/
Referencias del Ejemplo de Examen de la página 69.


ISACA. Todol 108 derechos reservados.
~C~IS,A Ccrtlfled Inrormailon
SyslBms, Auditor' EJEMPLO DE EXAMEN
.~W~ ----------------------------------------------------------------------------
EJEMPLO DE EXAMEN
1. Una organización de comercio electrónico con un entorno tecnológico complejo cuenta con numerosos proyectos concurrentes. Esto a
menudo resulta en cambios en el sistema de producción. ¿Cuál es el enfoque MÁS adecuado para la administración de cambios en el
sistema de manera que se reduzcan al mínimo las interrupciones del sistema?
A. Dar prioridad a los cambios con un riesgo técnico bajo.

8. Coordinar la administración de versiones a través de proyectos y sistemas.
C. Automatizar la migración de código desde las bibliotecas de prueba a las bibliotecas de producción.
D. Postergar los cambios en los sistemas de clientes a ciclos de negocio más silenciosos.
2. Una organización ha establecido una red de invitados para el acceso de visitantes. ¿Cuál de las siguientes deberla ser de
MAYOR preocupación para un auditor de SI?
A. No se muestra una pantalla de inicio de sesión para los usuarios invitados.

8. La red de invitados no está separada de la red de producción.
C. Los usuarios invitados que están conectados no están aislados unos de otros.
D. Una técnica de un solo factor de autenticación se utiliza para permitir el acceso.
3. El objetivo PRINCIPAL de un análisis de impacto al negocio (BIA) es:
A. un plan para reanudar las operaciones después de un desastre.

B. un compromiso de la organización para la seguridad fisica y lógica.
C. un marco para un plan de recuperación ante desastres (DRP) efectivo.
D. una comprensión del costo de una interrupción.
4. Un auditor de SI tiene la intención de evaluar la efectividad del diseño de control relacionada con un proceso de facturación automatizado.
¿Cuál de los siguientes es el enfoque MÁS efectivo a adoptar por la auditarla?
A. Narrativa del proceso

8. Investigación
C. Repetición de ejecución
D. Recorrido (walk-through)
5. ¿Cuál de los siguientes es el PRIMER paso a realizar antes de la creación de una clasificación de riesgo para el plan anual de auditarla SI?
A. Priorizar el riesgo identificado.

8. Definir el universo de auditoria.
C. Identificar los controles criticas.
D. Determinar el método de prueba.
6. Mientras se realiza la evaluación de la sección "fuera de alcance" especificada en un plan de proyecto, un auditor de SI debe determinar si
la sección:
A. describe efectivamente los objetivos no oficiales del proyecto.

8. aumenta los límites del proyecto.
C. establece claramente los objetivos "deseables" del proyecto.
D. proporciona la flexibilidad necesaria para el equipo del proyecto.

EJEMPLO DE EXAMEN
e CISA
Cllrtffied InformaUon
Slst.m~ AudlI01'·
~ 1'I1ILIU'1:r!"m.
7. Un auditor de SI está revisando el plan de continuidad del negocio (BCP) de una empresa para determinar el impacto de una interrupción
en una industria donde los requisitos normativos exigen una alta disponibilidad. ¿Cuál de los siguientes resultados deben ser de MAYOR
A. La organización no tiene una copia original del acuerdo para el sitio de procesamiento alterno.
B. Las cintas de respaldo no se encriptan para el almacenamiento fuera del sitio.
e. No se realizan pruebas de restauración de datos para los respaldos de datos de producción.
D. Las cintas de respaldo que superan su uso no se eliminan de forma segura.
8. Un auditor de SI está realizando una revisión de un modelo de gobierno de la organización, ¿Cuál de las siguientes debería ser de
MÁS preocupación para el auditor?
A, La política de seguridad de información no es periódicamente revisada por la alta gerencia,

B. No existe una política para garantizar que los sistemas sean revisados en el momento oportuno,
e. El comité de auditoría no revisó la declaración de misión global.
D, No existe una política organizacional relacionada con la protección contra software malintencionado (malware),
9. Los datos del libro mayor (OL) son necesarios para una auditoría, En lugar de pedirle a TI que extraiga los datos, el auditor de SI tiene
acceso directo a los mismos, ¿Cuál es la PRINCIPAL ventaja de este enfoque?
A, La reducción de horas de trabajo de TI para apoyar la auditoría

B, La reducción de la probabilidad de errores en el proceso de extracción
C, Mayor flexibilidad para el departamento de auditoría
D, Mayor garantía de validez de los datos
10. ¿Cuál de las siguientes estrategias es la MÁS apropiada si el objetivo de tiempo de recuperación (RTO) es alto?
A. Sitio cálido (warm site)

B. Sitio frío (cold site)
e. Sitio caliente (hot site)
D, Sitio móvil
11. La estrategia de continuidad de negocio óptimo para una entidad está determinada por:
A. el menor costo en términos de tiempo de inactividad,

B. la suma más baja de los costos de inactividad y recuperación de costos,
e. el menor costo de recuperación,
D, el promedio del costo por tiempo de inactividad más el de recuperación,
12. ¿Cuál de las siguientes opciones proporciona la MAYOR garantía para la encriptación de contraseñas de la base de datos?
A. Algoritmo de seguridad hash-256 (SHA-256)

B, Estándar de Encriptación Avanzada (AES)
e. Secure Shell (SSH)
D, Estándar de Encriptación de Datos triple (DES)
13. ¿Cuál de las siguientes es la consideración de seguridad MÁS importante para una organización que quiere reducir su infraestructura SI
desplazándose a los servidores proporcionados por una plataforma como proveedor de servicio (PaaS)?
A. Exigir a los usuarios de la nueva aplicación adoptar contraseñas específicas, de longitud mínima,
B. Implementar un firewall que monitoree el tráfico entrante con las configuraciones estándar de la organización,
C, Revisar la necesidad de encriptación de datos de aplicaciones almacenados y transmitidos,
D, Hacer que el vendedor del servicio sea responsable de la seguridad de las aplicaciones a través de los términos contractuales,

ISACA, Todos los derechos reservados,
~C:IS,A Certified Information
Systems, Auditor' EJEMPLO DE EXAMEN
¡
IiII!>ACA'tert rlktl lll
14. ¿Cuál de las siguientes opciones describe MEJOR el propósito de realizar una evaluación del riesgo en la fase de planificación de una
auditoría de SI?
A. Establecer los requerimientos de personal necesarios para completar la auditoría de SI

B. Proporcionar una seguridad razonable de que todos los elementos materiales se abordarán
C. Determinar los conocimientos necesarios para realizar la auditoría de SI
D. Desarrollar el programa de auditoría y los procedimientos para llevar a cabo la auditoría de SI
15. ¿Cuál de las siguientes es la MAYOR preocupación asociada con el uso de la computación peer-to-peer?
A. Infección por virus

B. Fuga de datos
C. Problemas de rendimiento de la red
D. Uso de software no autorizado
16. En una organización financiera que se ocupa de los datos de clientes de alta sensibilidad, se le pide a un auditor de SI que formule
recomendaciones para la comunicación de correo electrónico seguro. ¿Cuál es la recomendación MÁS apropiada?
A. Establecer claves privadas con clientes para encriptar el correo electrónico e intercambiar frases de paso.
B. Requerir a los empleados utilizar la firma digital al enviar correo electrónico.
C. Establecer pares de clave pública/privada con clientes para encriptar correos electrónicos.
D. Requerir a los empleados usar autenticación de dos factores antes de enviar correos electrónicos.
17. Un grupo de desarrollo está diseñando una aplicación de Internet que acepta pedidos de los clientes. ¿Cuál de las siguientes características
es una GRAN preocupación durante la revisión de la etapa de diseño?
A. La inclusión de la información técnica en los mensajes de error

B. El uso de procedimientos almacenados para manejar los procesos de transacción
C. La revalidación de entrada del lado del servidor
D. Los controles que restringen el acceso a los objetos del sistema
18. Durante una auditoría de una pequeña compañía que ofrece servicios de transcripción médica, un auditor de SI observa varias cuestiones
relacionadas con el proceso de respaldo y restauración. ¿Cuál de las siguientes debería ser la MAYOR preocupación del auditor?
A. No se realizan las pruebas de restauración para los medios de respaldo; sin embargo, han sido exitosas todas las solicitudes de datos
de restauración.
B. La política para el respaldo y la retención de datos no ha sido revisada por el propietario del negocio durante los últimos tres años.
C. La compañía almacena cintas de respaldo de transcripción externas con un proveedor de servicios de terceros, que hace inventarios
anuales de las cintas de respaldo.
D. Las alertas de respaldo fallidas para los archivos de datos para el departamento de comercialización no son objeto de seguimiento o
no están resueltas por el administrador de TI.
19. Al auditar una arquitectura de comercio electrónico, un auditor de SI nota que los datos maestros de clientes se almacenan durante seis
meses después de la fecha de la transacción más reciente y luego son eliminados a causa de la inactividad. ¿Cuál de las siguientes debería
ser la preocupación PRINCIPAL para el auditor de SI?
A. La disponibilidad de datos de los clientes

B. La integridad de los datos de los clientes
C. La confidencialidad de los datos de los clientes
D. El rendimiento del sistema de almacenamiento

EJEMPLO DE EXAMEN ~C:ls3A Car111lOO IlIformnlJ.n
Sysl.rrn;, Auditor'
~n~CII~
20. ¿Cuál de las siguientes es la manera MÁs eficiente para probar la efectividad del diseño de un proceso de control de cambios?
A. Probar una muestra de solicitudes de cambios,

E. Probar una muestra de los cambios autorizados,
C. Entrevistar al personal a cargo del proceso de control de cambios
D. Realizar una verificación completa del proceso,
21. Un mensaje firmado con una firma digital no puede ser repudiado por el emisor, porque una firma digital:
A. autentica la identidad del remitente utilizando la infraestructura de clave pública (PKl).

E. utiliza un algoritmo hash para garantizar que el contenido del mensaje es válido.
e. no se pueden copiar en otro mensaje.
D. autentica contenidos y el remitente en el momento de la firma.
22. Un auditor de SI quiere determinar el número de órdenes de compra no debidamente aprobadas. ¿Cuál de las siguientes técnicas de
muestreo debe un auditor de SI usar para llegar a tales conclusiones?
A. Atributo
B. Variable
C. Parar o segui r
D. Juicio
23. Un auditor de SI ha identificado un proceso de negocio a ser auditado. El auditor de SI debe A CONTINUACIÓN identificar:
A. los activos de información más valiosos.

B. los recursos de auditoría de SI que serán utilizados.
C. el personal de auditado a ser entrevistado.
D. los objetivos de control y las actividades.
24. El objetivo PRINCIPAL de llevar a cabo una revisión post-implementación para un proyecto de automatización de procesos de negocio es:
A. asegurar que el proyecto cumpla con los requisitos de negocio previstos.

E. evaluar la idoneidad de los controles.
e. confirmar el cumplimiento con los estándares tecnológicos.
D. confirmar el cumplimiento con los requisitos reglamentarios.
25. Una organización tiene un proceso de gestión de riesgo bien establecido. ¿Cuál de las siguientes prácticas de manejo de riesgo tendría
MAYOR probabilidad de exponer a la organización a la mayor cantidad de riesgos de cumplimiento?
A. Reducción del riesgo

E. Transferencia del riesgo
C. Evasión del riesgo
D. Mitigación del riesgo
26. ¿Cuál de las siguientes opciones reduce MEJOR el riesgo de que los medios de respaldo que contienen información irremplazable se
pierdan o se roben durante el tránsito?
A. Asegurar que los medios estén encriptados.

B. Mantener una copia duplicada.
C. Mantener una cadena de custodia.
D. Asegurar que el personal esté unido.

~C~'S3 M Certified Information _ _ _ _ __ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ EJEMPLO
Systems,Auditor· _ _ _ _DE
_EXAMEN
_ __
AI'ftMA·etrf .. t.I"
27. Una función de auditoria interna de SI está planeando una auditoría general de SI. ¿Cuál de las siguientes actividades se lleva a cabo
durante el PRIMER paso de la etapa de planificación?
A. Desarrollo de un programa de auditoría

S. Revisión del estatuto de auditoría
C. Identificación de los propietarios de la información clave
D. Ejecución de una evaluación de riesgos
28. Durante una revisión post-implementación, un auditor de SI considera que la aplicacion entregada no cumple con las necesidades
del usuario final. ¿Cuál de las siguientes es la MEJOR recomendación para prevenir problemas futuros con el proceso de gestión de
proyectos?
A. Involucrar a los desarrolladores de aplicaciones durante la etapa de diseño.

B. Utilizar el método de cascada en todo el proceso de desarrollo.
C. Revisar y actualizar las políticas de gestión de proyectos y procedimientos.
D. Involucrar al comité directivo de proyectos al inicio del proceso de desarrollo.
29. ¿Cuál de los siguientes métodos de prueba de penetración es el MÁs efectivo en el descubrimiento de vulnerabilidades relacionadas con
la capacidad de respuesta a incidentes?
A. Externo
S. Doble·ciego
C. Interno
D. Ciego
30. Un auditor de SI usa técnicas de auditoría asistidas por computadora (CMI) para recopilar y analizar datos. ¿Cuál de los siguientes
atributos de la evidencia es el MÁS afectado por el uso de CMI?
A. Utilidad
S. Confiabilidad
C. Relevancia
D. Adecuación
31. Un auditor de SI está revisando el proceso de los dispositivos de red de administración remota a través de Internet de una gran institución
financiera. El auditor de SI debe estar MÁS preocupado si:
A. se utilizan credenciales compartidas.

S. no se muestra ningún banner de acceso.
C. el acceso Ielnet está activado.
D. las bitácoras de dispositivos no están siendo capturadas.
32. ¿Cuál de las siguientes opciones ayuda MEJOR a un auditor de SI para evaluar la calidad de la programación de actividades relacionadas
con las capacidades de mantenimiento futuras?
A. El lenguaje de programación
S. El ambiente de desarrollo
C. Un sistema de control de versiones
D. Las normas para la codificación de programas
33. ¿Cuál de las siguientes opciones se puede utilizar para ayudar a asegurar la confidencialidad de los datos transmitidos?
A. Encriptar la síntesis del mensaje con la clave privada del remitente.

S. Encriptar la clave de sesión con la clave pública del remitente.
C. Encriptar el mensaje con la clave privada del remitente.
D. Encriptar la clave de sesión con la clave pública del receptor.

EJEMPLO DE EXAMEN ~C~IS, M
Ccrllfied Informallon
Sysfcms, AinlItD(
"'1lIP· ~
34. Un auditor de SI evalúa el proceso de gestión de proyectos para un proyecto interno de desarrollo de software. En lo que respecta a la
funcionalidad del software, el auditor de SI debe buscar la aprobacion a través de:
A. el gerente de proyecto.
S. la gerencia de desarrollo de sistemas.
e. la gestión de unidad de negocio.
D. el equipo de aseguramiento de calidad (QA).
35. Un auditor de SI está realizando una revisión de una red, y los usuarios informan de que la red es lenta y las páginas web regularmente
no se cargan. El auditor de SI confirma los comentarios de los usuarios y presenta los hallazgos al administrador de red. La acción más
apropiada para el equipo de administración de la red debe ser PRIMERO:
A. utilizar un analizador de protocolos para analizar la red y revisar las bitácoras de error de la red de área local (LAN).
S. adoptar medidas para aumentar el ancho de banda de la conexión a Internet.
e. crear una línea de base utilizando un analizador de protocolos y poner en práctica la calidad de servicio (QoS) para asegurar que las
aplicaciones criticas de negocio funcionan en forma adecuada.
D. implementar LAN virtuales (vLAN) para segmentar la red y asegurar el rendimiento
36. ¿Cuál de las siguientes opciones ayuda a un auditor de SI a evaluar la calidad de un nuevo software que se desarrolla y es aplicado?
A. la información del tiempo medio entre fallas a través del tiempo.

s. el tiempo medio general de reparación de fallas.
e. el primer informe del tiempo medio entre fallas.
D. el tiempo de respuesta general de reparación de las fallas.
37. Una verificación de la redundancia cíclica (CRe) se utiliza comúnmente para determinar:
A. la exactitud de los datos de entrada.

B. integridad de un programa descargado.
C. la adecuación de la encriptación.
D. la validez de la transferencia de datos.
38. Las pruebas de regresión se llevan a cabo PRINCIPALMENTE para asegurar que:
A. la funcionalidad del sistema cumple con los requisitos del cliente.

S. un nuevo sistema puede funcionar en el ambiente meta.
e. estándares de desarrollo aplicables se han mantenido.
D. Jos cambios aplicados no han introducido nuevos errores.
39. Los procedimientos de recuperación para una instalación de procesamiento de información son MEJORES en base a:
A. objetivo de tiempo de recuperación (RIO).

B. objetivo de punto de recuperación (RPO).
e. máximo tiempo tolerable de interrupción (MIO).
D. política de seguridad de información.
40. Una gran organización industrial sustituye al antiguo sistema obsoleto y evalúa la posibilidad de adquirir una solución personalizada o
desarrollar un sistema interno. ¿Cuál de las siguientes opciones es MÁS probable que tenga influencia en la decisión?
A. las habilidades técnicas y los conocimientos dentro de la organización relativos al abastecimiento y el desarrollo de software
S. los requisitos de privacidad aplicados a los datos procesados por la aplicación
C. si el sistema anterior que se sustituye fue desarrollado internamente
D. los usuarios no dedican un tiempo razonable para definir las funcionalidades de la solución

EC~ls3 M Certified
Syslems, IAuditor'
.nl.ormatlon EJEMPLO DE EXAMEN
Anl!>Ai:A·c.A'ht.lhon - - - - - - - - - - - - - - - - - - - - -- - - - - -- - - - - - - - - - -
41. ¿Cuál de las siguientes opciones debería ser una GRAN preocupación para un auditor de SI que revisa un plan de continuidad del negocio
(BCP)?
A. El plan es aprobado por el director de información (CIO).

B. Las listas de contactos del plan no han sido actualizadas.
e. Los resultados obtenidos no están adecuadamente documentados.
D. El programa de capacitación para el personal de recuperación no está incluido
42. Un auditor de SI está revisando el proceso de control de cambios para una aplicación de planificación de recursos empresariales (ERP).
¿Cuál de los siguientes es el MEJOR método para probar cambios en los programas?
A. Seleccionar una muestra de solicitudes de cambio y revisarlos para su autorización.

B. Realizar un recorrido rastreando un cambio de programa de principio a fin.
e. Revisar una muestra de programas modificados que soportan las solicitudes de cambio.
D. Utilizar el software de consulta para analizar todos los boletos de cambio para los campos que faltan.
43. La capacidad de reconocer un incidente de seguridad potencial:
A. es responsabilidad primordial del personal de seguridad.

B. no es importante porque muchos tipos de incidentes podrían implicar la seguridad.
e. es respaldado por políticas detalladas.
D. requiere de todo el personal.
44. ¿Cuál de las siguientes opciones distingue un análisis de impacto al negocio (BIA) a partir de una evaluación de riesgos?
A. Un inventario de los activos cruciales

B. Una identificación de las vulnerabilidades
e. Un listado de amenazas
D. Una determinación de tiempo de inactividad aceptable
45. Un auditor de SI que realiza una revisión de la red se preocupa que las vulnerabilidades dentro de la solución de acceso remoto podrían
permitir a un atacante el acceso a la intranet con los privilegios de un recurso local. ¿Qué tipo de prueba de penetración es MÁS adecuado
para garantizar que tal ataque no causará un daño significativo?
A. Externo
B. Interno
e. Ciego
D. Objetivo
46. ¿Cuál de los siguientes es el criterio MÁS importante para la selección de un sitio alternativo de procesamiento?
A. La distancia total geográfica entre el sitio alternativo y el principal

B. La probabilidad de que el mismo evento natural ocurra en ambos sitios
e. La capacidad de hacer coincidir el proceso en ambos sitios
D. La proximidad del sitio alternativo a las instalaciones hospitalarias, de bomberos y de emergencia locales
47. ¿Cuál de los siguientes beneficios es el MÁS probable en una infraestructura estandarizada?
A. Mejor rentabilidad de la prestación de servicio y soporte operativo de TI.

B. Aumento de la seguridad del centro de prestación de servicios de TI
e. Disminución del nivel de inversión en la infraestructura de TI
D. Menor necesidad de pruebas para los cambios futuros de la aplicación

EJEMPLO DE EXAMEN ~C~IS3A Cermied
Systoms. Information
Auditor'
i
o\nlSACA"Certlllclllon
48. Durante la auditoría externa, un auditor de SI descubre que los sistemas que están en el alcance de la auditoría fueron implementados por
un socio. En tal circunstancia, la gestión de auditoría de SI debe:
A. quitar al auditor de SI de la participación.

B. cancelar la participación.
C. revelar el problema al cliente.
D. tomar medidas para restablecer la independencia del auditor de SI.
49. Los usuarios que comparten las credenciales de acceso presentan una falta de:
A. responsabilidad.
B. disponibilidad.
C. autenticación.
D. autorización.
50. Los cambios de emergencia que pasan por alto el proceso de cambio de control normal son MÁS aceptables si:
A. la administración revisa y aprueba los cambios después de que han ocurrido.

B. los cambios son revisados por un compañero en el momento del cambio.
C. los cambios están documentados en el sistema de control de cambio por el departamento de operaciones.
D. la administración ha preaprobado todos los cambios de emergencia.
51. Se le ha pedido a un auditor de SI revisar la implementación de un sistema de gestión de relaciones con clientes (CRM) para una
organización grande. El auditor de SI descubrió que el proyecto incurrió en gastos significativos que exceden el presupuesto y el
cambio de alcance hizo que el proyecto perdiera fechas clave. ¿Cuál de las siguientes opciones deberá recomendar el auditor de
SI para futuros proyectos?
A. Capacitación en gestión de proyectos

B. Un nivel mínimo de software
C. Un cuadro de mando integral (BSC)
D. Software de requisitos automatizados
52. ¿Cuál de las siguientes opciones encripta MEJOR los datos en los dispositivos móviles?
A. Criptografia de Curva Elíptica (ECC)

B. Estándar de Encriptación de Datos (DES)
C. Estándar de Encriptación Avanzada (AES)
D. El algoritmo blowfish
53. Es MÁs adecuado implementar un esquema de respaldo incremental cuando:
A. hay tiempo de recuperación limitado para los datos críticos.

B. se prefieren medios basados en discos en línea.
C. hay capacidad limitada de medios.
D. se requiere una selección aleatoria de conjuntos de respaldo.
54. ¿Cuál de las siguientes opciones es la MÁS importante para un auditor de SI que evalúa cómo el gerente del proyecto ha realizado un
seguimiento del progreso del proyecto?
A. Diagramas de ruta crítica

B. Diagramas de técnica de revisión y evaluación de programas (PERT)
C. Análisis de punto de función (FPA)
D. Gráficas de Gantt

~C:IS3A Certified
Systems. Information
Auditor' EJEMPLO DE EXAMEN
.uIWA· ~Jubu.n - - - - -- -- - - - - - - - - - - -- - - - - - -- -- - - - - - - - --
55. ¿Cuál de los siguientes es el control de acceso MÁS efectivo para ayudar a asegurar la confidencialidad?
A. Control de acceso a la red (NAC)

B. Infraestructura de clave pública (PKI)
C. Control de acceso discrecional (DAC)
D. Control de acceso obligatorio (MAC)
56. ¿Cuál de las siguientes es una GRAN preocupación durante la revisión de actividades de asistencia técnica?
A. Algunas llamadas no pudieron resolverse por el equipo de mesa de ayuda.

8. Una línea dedicada no es asignada al equipo de mesa de ayuda.
C. Los incidentes resueltos se cierran sin referencia a los usuarios.
D. La mensajería instantánea de la mesa de ayuda ba estado fuera de servicio por más de seis meses.
57. Un auditor de SI concluye que un sistema en desarrollo cuenta con 12 módulos conectados y cada dato puede llevar hasta \O campos
de atributos definidos. El sistema se encarga de varios millones de transacciones al año. ¿Cuál de estas técnicas podría un auditor de SI
utilizar para estimar la dimensión del esfuerzo de desarrollo?
A. Técnica de revisión y evaluación de programas (PERT)

8. Análisis de punto de función (FPA)
C. Conteo de líneas de código fuente
D. Prueba de caja blanca
58. ¿Cuál de las siguientes opciones ayuda MEJOR a un auditor de SI para evaluar y medir el valor de un nuevo sistema implementado?
A. Revisión de los requisitos de negocio

B. Certificación del sistema
C. Revisión post-implementación
D. Acreditación del sistema
59. Al revisar un proyecto en curso, el auditor de SI señala que el equipo de desarrollo ha pasado ocho horas de actividad el primer día frente
a un presupuesto de 24 horas (de más de tres días). El tiempo previsto para completar el resto de la actividad es de 20 boras. El auditor de
SI debe informar que el proyecto:
A. está retrasado.
B. está adelantado en relación con el cronograma.
C. está a tiempo.
D. no se puede evaluar hasta que la actividad se haya completado.
60. ¿Cuál de los siguientes es el objetivo PRINCIPAL del proceso del plan de continuidad del negocio (8CP)?
A. Garantizar a los interesados que las operaciones de negocio se mantendrán en el caso de un desastre
B. Establecer un lugar alternativo para los servicios de TI para cumplir con los objetivos predefinidos respecto al tiempo de
recuperación (RTO)
C. Gestionar el riesgo mientras se recupera de un evento que afectó en forma adversa las operaciones
D. Cumplir con los requisitos de cumplimiento regulatorios en caso de desastre natural
61. ¿Cuál de las siguientes sería la MAYOR preocupación para una organización que está migrando desde su red de área local (LAN) a una
red totalmente inalámbrica?
A. La autenticación de usuarios inalámbricos

B. La interceptación de información de la compañía
C. Personal debidamente capacitado para apoyar a la red inalámbrica
D. La interceptación de la señal inalámbrica fuera de los límites del establecimiento

EJEMPLO DE EXAMEN ~C:IS,A Certifled Informatlon
Systerns, Auditor'
i
"-~I5ACA·c«ulu'bII
62. ¿Qué control se debiera implementar en tomo a Wla aplicación de banca por Internet para mitigar el riesgo de fraude interno?
A. Las transacciones deben ser procesadas solo si se firman con la clave privada del cliente emitida por una autoridad certificadora
de terceros,
B. Las transacciones financieras deben requerir una contraseña única adicional generada por un token en posesión de clientes
autorizados.
C. Se debiera utilizar un cifrado más robusto para la comunicación cliente-servidor.
D. Las transacciones no deberian procesarse si estas exceden un límite de cantidad predefinido que ha establecido el cliente.
63. Un hotel ha colocado una computadora en el vestíbulo para ofrecer a los invitados acceso a Internet. ¿Cuál de las siguientes opciones
representa el MAYOR riesgo de robo de identidad?
A. Las cookies del navegador web no se eliminan automáticamente.

S. La computadora no está configurada correctamente.
C. Las actualizaciones del sistema no se han aplicado en la computadora.
D. No está activada la sesión de desconexion.
64. ¿Cuál de las siguientes opciones conlleva el MENOR riesgo en la gestión de fallas, en la transición de las aplicaciones antiguas
a las nuevas?
A. Cambio en etapas
B. Cambio abrupto
C. Procedimiento de restauración
D. Cambio en paralelo
65. Un auditor de SI está revisando la lista de control de acceso (ACL) de los usuarios de red activos. ¿Cuál de los siguientes tipos de
identificaciones de usuario deben ser de MAYOR preocupación?
A. Identificaciones de usuario de prueba o capacitación

S. Identificaciones compartidas
C. Identificaciones administrativas
D. Identificaciones de usuarios de antiguos empleados
66. Un auditor de SI está revisando un servidor web corporativo. ¿Cuál de las siguientes seria la MAYOR preocupación del auditor de SI?
A. No se aplican los parches del sistema.

S. No se accede al servidor a través de una red privada virtual (VPN).
C. Las bitácoras del servidor no están siendo capturados.
D. La traducción de direcciones de red no está habil itada.
67. La comparación de los datos de una aplicación de cuentas por pagar con las facturas recibidas de los proveedores en el mes de diciembre
se describe MEJOR como:
A. pruebas sustantivas.
B. pruebas de cumplimiento.
C. análisis cualitativo.
D. muestreo basado en juicio.
68. ¿Cuál de los siguientes es el requisito MÁS importante para un proceso robusto de administración de cambios?
A. Cadena de custodia
B. Responsabilidad individual
C. Controles de entrada de datos
D. Segregación de funciones

~C~IS, Certified Information
.... Systems, Auditor'
¡
EJEMPLO DE EXAMEN
AnISACA'cmlll~11oo
69. La práctica de auditorla MÁS efectiva para determinar si la efectividad operativa de los controles está correctamente aplicada al
procesamiento de transacciones es:
A. prueba de diseño de control.

B. prueba sustantiva.
C. inspección de documentación relevante.
D. distribución de un cuestionario
70. Un auditor de SI quiere determinar la eficacia de la gestión de acceso del usuario a una sala de servidores. ¿Cuál de las siguientes
opciones proporciona la MEJOR evidencia de eficacia?
A. La observación de un evento registrado

8. La revisión del manual de procedimientos
C. Una entrevista al sector administrativo
D. Una entrevista con el personal de seguridad
71. Durante la revisión de una aplicación de desarrollo propio, la MAYOR preocupación para un auditor de SI es si:
A. el usuario realiza una solicitud de cambio y lo prueba en el ambiente de pruebas.

8. el programador codifica un cambio en el ambiente de desarrollo y lo prueba en el ambiente de pruebas.
C. el gerente aprueba una solicitud de cambio y luego lo revisa en el ambiente de producción.
D. el gerente inicia una solicitud de cambio y posteriormente lo aprueba.
72. ¿Cuál de las siguientes es la MEJOR manera de garantizar que las políticas de la organización cumplan con los requisitos legales?
A. La inclusión de una declaración general legal en cada política

8. La revisión periódica por expertos en la materia
C. La aprobación anual por la alta gerencia en las políticas de organización
D. La alineación de la política a las normas más restrictivas
73. ¿Cuál de las siguientes opciones mitiga MEJOR el riesgo de revelar información confidencial a través del uso de las redes sociales?
A. Proporcionar capacitación de concientización sobre seguridad

8. Requerir una política aprobada de uso aceptable
C. Monitorear la utilización de los medios sociales
D. Prohibir el uso de medios sociales a través de controles de red
74. Existe la preocupación de que el riesgo de acceso no autorizado pueda aumentar después de la implementación de un proceso de single
sign-on (SSO). Para prevenir el acceso no autorizado, la acción MÁS importante es:
A. garantizar que todos los intentos de autenticación fallidos sean monitoreados.

8. revisar la bitácoras con regularidad.
C. asegurar que todas las cuentas no utilizadas estén desactivadas.
D. imponer una política fuerte de contraseñas.
75. ¿Cuál de las siguientes opciones describe MEJOR un control de seguridad preventivo de información?
A. Una política de seguridad de información

8. Una ID de usuario y contraseña únicas
C. Un sistema de detección de intrusos (IDS).
D. Una alerta de registro del sistema de intentos de acceso no autorizados

EJEMPLO DE EXAMEN EC=ISA3 Certmed
,
Auditor'
A. r.SACA· tmlln t. ...
76. Un auditor está llevando a cabo una auditoria de los procedimientos de seguridad informática de respuesta a incidentes para una
organización financiera de gran tamaño. ¿Cuál de las siguientes seria la MAYOR preocupación del auditor de SI?
A. La asistencia técnica de TI (help desk) no está capacitada para contener y resolver incidentes de seguridad informática.
B. Los procedimientos de respuesta a incidentes de seguridad informática no identifican un enlace a la alta gerencia.
C. Los usuarios finales no están capacitados para identificar e informar sobre incidentes de seguridad informática.
D. Los incidentes de seguridad informática no se registran en un repositorio centralizado.
77. ¿Cuál de las siguientes es la habilidad MÁS importante que un auditor de SI debe desarrollar para comprender las limitaciones de la
realización de una auditoría?
A. Planificación de contingencia
B. Asignación de recursos de gestión de SI
C. Gestión de proyectos
D. Conocimiento de los controles internos
78. ¿Cuál de los siguientes tipos de riesgo podria resultar de un inadecuado nivel mínimo de software?
A. Atrasos en la aprobación
B. Violaciones de la integridad del software
C. Cambio de alcance
D. Controles inadecuados
79. Un auditor de SI que revisa los controles de autenticación estaria MÁs preocupado si:
A. las cuentas de usuario no son bloqueadas después de cinco intentos fallidos.

B. las contraseñas pueden ser reutilizadas por los empleados dentro de un marco de tiempo definido.
C. los administradores de sistema utilizan credenciales de acceso compartido.
D. la caducidad de la contraseña no está automatizada.
80. ¿Cuál de las siguientes es la consideración MÁS importante antes de emitir un informe de auditoria?
A. Suficiencia de las pruebas para respaldar las conclusiones sobre los controles
B. Discusión del borrador del informe con la gerencia del auditado
C. Lista de las partes interesadas para la distribución de informes
D. Determinación de si se debe excluir los resultados que tienen un menor impacto en la organización
81 ¿Cuál de las siguientes opciones mitiga MEJOR el riesgo derivado del uso de los acuerdos recíprocos como alternativa de recuperación?
A. Realizar ejercicios de recuperación de desastres todos los años.

8. Asegurar que las organizaciones asociadas estén separadas geográficamente.
C. Realizar regularmente un análisis de impacto del negocio (BIA).
D. Seleccionar una organización asociada con sistemas similares.
82. Un auditor de SI nota que los intentos fallidos de inicio de sesión en un sistema financiero principal se registran automáticamente y se
mantienen durante un año. El auditor de SI debe concluir que se trata de:
A. un control preventivo efectivo.

B. un control detectivo válido.
C. un control no adecuado.
D. un control correctivo.

~C~IS,A' Cnrtlfled Infomialkm
Syswms. AuIIltor' EJEMPLO DE EXAMEN
Jo.o!LIr.I"C~, I Wj I MII - - - - -- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
83. ¿Cuál de las siguientes es la MEJOR manera de asegurar que un sistema de producción comercial siga operando como se esperaba?
A. Los cambios se ejecutan y prueban en el entorno de producción.

B. Los cambios son revisados por los analistas que han diseñado la aplicación, antes de ser aplicada.
C. Los usuarios que solicitan cambios crean los casos de prueba.
D. La aplicación se creó con un alto nivel de participación de los usuarios.
84. ¿Cuál de las siguientes es la PRINCIPAL razón por la cual una organización debe tener un plan de respuesta a incidentes? El plan ayuda
a:
A. asegurar la pronta recuperación de las interrupciones del sistema.

B. contener los costos relacionados con el mantenimiento de las capacidades del plan de recuperación de desastres (DRP).
C. asegurar que los clientes sean prontamente notificados sobre cuestiones como las violaciones de seguridad.
o. minimizar el impacto de un evento adverso.
85. En una situación de recuperación de desastres, ¿cuál de las siguientes es la métrica MÁs importante para asegurar que los datos se
sincronizan entre los sistemas críticos?
A. Objetivo de punto de recuperación (RPO)

B. Objetivo de tiempo de recuperación (RTO)
C. Capacidad de recuperación de servicio
o. Recuperación de escalabilidad de servicios
86. Un auditor de SI evalúa la estructura de gobierno de TI de una organización. ¿Cuál de las siguientes opciones sería la MAYOR
preocupación?
A. La alta gerencia tiene una participación limitada.

B. No se mide el retomo de la inversión (ROl).
C. La transferencia de costos de TI no es consistente.
o. El apetito de riesgo no se cuantifica.
87. El riesgo de dumpster diving (buscar en el basurero) se mitiga MEJOR mediante:
A. la implementación de capacitación de concientización de seguridad.

B. la colocación de contenedores de trituración en las salas de copia.
C. el desarrollo de una política de eliminación de medios.
o. la colocación de trituradoras de papel en las oficinas individuales
88. Una organización ha comprado una aplicación de terceros e hizo modificaciones significativas. Mientras se audita el proceso de desarrollo
de esta aplicación crítica, de cara al cliente, el auditor de SI señaló que el vendedor ha estado en el negocio solo por un año. ¿Cuál de las
siguientes opciones ayudaría a mitigar el riesgo en relación con la aplicación continua de apoyo?
A. Un estudio de viabilidad sobre el vendedor

B. Un acuerdo de custodia de software
C. Una evaluación financiera del proveedor
D. Un acuerdo contractual para futuras mejoras
89. La rotación de las responsabilidades del trabajo es una buena práctica de seguridad PRINCIPALMENTE porque:
A. garantiza que el personal reciba capacitación cruzada.

B. mejora la moral de los empleados.
C. maximiza el rendimiento del empleado.
D. reduce la oportunidad de fraude.

EJEMPLO DE EXAMEN ~C~IS, eertme<! Infonnation
' " Systems, Audito,'
i
AnISACA'r;~lIltallon
90. ¿El efecto de cuál de los siguientes debería tener prioridad en la planificación del alcance y los objetivos de una auditoría de SI?
A. Requisitos estatutarios aplicables

B. Normas corporativas aplicables
e. Mejores prácticas aplicables de la industria
D. Políticas y procedimientos de la organización
91. El PRIMER paso en la ejecución de un mecanismo de gestión de problemas debe ser:
A. tema de análisis.
B. clasificación de excepción.
e. informe de excepciones.
D. análisis de causa raíz.
92. Una filial en otro país se ve obligada a apartarse de las políticas de TI de la organización matriz para cumplir con la ley local. El MEJOR
enfoque para la organización matriz es:
A. crear una disposición para permitir que las políticas locales tengan prioridad cuando sea exigido por la ley.
B. que la filial revise sus políticas para cumplir con las políticas de la organización matriz.
e. revisar las políticas de la organización matriz para que coincidan con las políticas de la filial.
D. realizar un seguimiento del problema como una violación de las políticas con una nota de las circunstancias atenuantes.
93. Durante la auditoría de un ciclo de vida del desarrollo del sistema (SDLC) las aplicaciones de recursos humanos (HR) y de nómina,
el auditor de SI señala que los datos utilizados para la prueba de aceptación del usuario (UAT) han sido enmascarados. El objetivo de
enmascarar los datos es para asegurar:
A. la confidencialidad de los datos.

B. la exactitud de los datos.
e. la integridad de los datos.
D. la fiabilidad de los datos.
94. La determinación del objetivo de prestación de servicios (ODS) se debe basar PRINCIPALMENTE en:
A. la capacidad operativa mínima aceptable.

B. la rentabilidad del proceso de restauración.
e. el logro de objetivos de tiempo de recuperación (RTO).
D. la ventana de interrupción aceptable (AIW).
95. ¿Cuál de las siguientes es la MEJOR razón para integrar la prueba de los sistemas no críticos en los planes de recuperación de desastres
(DRP) con planes de continuidad de negocio (BCP)?
A. Asegurarse de que los DRP estén alineados con el análisis de impacto en el negocio (BIA).
B. El personal de recuperación de la infraestructura puede estar asistido por expertos de negocios en la materia.
e. Los BCP pueden suponer la existencia de capacidades que no están en los DRP.
D. Proporcionarles a los ejecutivos de negocios el conocimiento de las capacidades de recuperación de desastres.
96. ¿Cuál de los siguientes es el MAYOR riesgo de una organización que utiliza los acuerdos recíprocos para la recuperación de desastres
entre las dos unidades de negocio?
A. Los documentos contienen deficiencias legales.

B. Ambas entidades son vulnerables a un mismo incidente.
C. Los sistemas TI no son idénticos.
D. Una de las partes tiene interrupciones más frecuentes que la otra.

~C~IS3A Cert(11ed 1r,Ionnlllwn
Systoms. AutJltor" EJEMPLO DE EXAMEN
.t.IIa,i.Q."D5':lIbUIIf - - - - - - - - -- - - - - - - - - - - - - - - - - - - - - - - - - - - -
97. Un equipo de desarrollo de la compañía generalmente no sigue las prácticas del ciclo de vida de desarrollo del sistema (SDLC).
¿Cuál de las siguientes opciones es MÁS probable que cause problemas para los proyectos de desarrollo de software?
A. La verificación funcional de los prototipos se le asigna a los usuarios finales.

B. El proyecto se lleva a cabo mientras las cuestiones de menor importancia están abiertas desde las pruebas de aceptación
del usuario (UAT).
C. Las responsabilidades de los proyectos no se definen formalmente en el inicio de un proyecto.
D. La documentación del programa es insuficiente.
98. Después de una declaración de desastre, la fecha de creación de medios en un sitio cálido (warm site) de recuperación se basa en:
A. el objetivo de punto de recuperación (RPO).

B. el objetivo de tiempo de recuperación (RTO).
C. el objetivo de entrega de servicios (SDO).
D. el mínimo tiempo tolerable de interrupción (MTO).
99. Una organización con una historia de fuertes controles internos permite el uso de unidades de bus serial universal (USB) para
transferir los datos entre oficinas. ¿Cuál de los siguientes es el MAYOR riesgo asociado con el uso de estos dispositivos?
A. Los archivos no están respaldados

B. El robo de los dispositivos
C. El uso de los dispositivos para uso personal
D. La introducción de malware (software malicioso) en la red
100. Un auditor de SI revisa el proceso de gestión de riesgos. ¿Cuál de las siguientes es la consideración MÁS importante durante esta
revisión?
A. Los controles se aplican sobre la base de análisis costo-beneficio.

B. El marco de gestión de riesgos se basa en estándares globales.
C. El proceso de aprobación para la respuesta al riesgo está establecido.
D. Los riesgos de TI se presentan usando términos del negocio.

ISACA. Todos lo. derechos reservados.
e el54
Certiffed IIlformatlon
SYSlom~Alldlror·
A .- I , I r.KQr IIl ~ ..

ISACA. Todos los derecho. reservados.
e . .'. . .-
system~,Auditor'
MISAtA'cm4'R
_ _ _ _ _ _ _ __CLAVE
__ DE__
RESPUESTAS
__ V REFERENCIAS
____ DEL_
EJEMPLO
_ _DE _EXAMEN
__
Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA ® Suplemento 2013

CLAVE DE RESPUESTAS YREFERENCIAS DEL EJEMPLO DE EXAMEN
Número de Número de Número de
pregunta pregunta pregunta
de examen Respuesta Ref. de examen Respuesta Ref. de examen Respuesta Ref.
1 B AS4-23 35 A AS4-14 69 B AS1-4
2 B AS5-9 36 e AS3-13 70 A AS5-1
3 o AS2-14 37 o AS4-10 71 o AS4-17
4 o AS1-7 38 o AS3-1 72 B AS2-7
5 B AS1-1 39 A AS4-3 73 A AS5-7
6 B AS3-6 40 A AS3-17 74 o AS5-5
7 e AS2-11 41 e AS2-5 75 B AS5-18
8 A AS2-1 42 e AS4-21 76 e AS5-20
9 o AS1-10 43 o AS4-7 77 e AS1-14
10 B AS4-2 44 o AS2-3 78 e AS3-3
11 B AS2-13 45 B AS5-30 79 e AS5-12
12 B AS5-10 46 B AS2-2 80 A AS1-2
13 e AS5-3 47 A AS3-2 81 B AS4-16
14 B AS1-8 48 e AS1-6 82 e AS5-8
15 B AS5-4 49 A AS5-21 83 B AS4-13
16 e AS5-28 50 A AS4-22 84 o AS5-26
17 A AS5-27 51 B AS3-19 85 A AS4-18
18 e AS4-11 52 A AS5-13 86 A AS2-6
19 e AS5-17 53 e AS4-15 87 A AS5-16
20 o AS4-4 54 o AS3-8 88 B AS3-10
21 o AS5-29 55 o AS5-22 89 o AS2-12
22 A AS1-11 56 e AS4-1 90 A AS1-5
23 o AS1-3 57 B AS3-4 91 e AS4-8
24 A AS3-5 58 e AS3-16 92 A AS2-10
25 B AS2-4 59 A AS3-9 93 A AS3-12
26 B AS4-19 60 e AS2-9 94 A AS4-12
27 o AS1-13 61 B AS5-25 95 e AS4-5
28 B AS3-14 62 A AS5-6 96 B AS4-6
29 B AS5-15 63 o AS5-11 97 e AS3-18
30 B AS1-12 64 o AS3-15 98 A AS4-9
31 e AS5-24 65 o AS5-19 99 B AS5-2
32 o AS3-11 66 A AS5-23 100 o AS2-8
33 o AS5-14 67 A AS1-9
34 e AS3-7 68 o AS4-20
Ejemplo de referencia: AS5-11 = Véase el área de contenido 5, pregunta 11 para una explicación de la respuesta.

EC:3 1SA Ccrt[fIctI lnformnUOI1
Sysloms,¡\udIlw
ulLLt'.('c-L-

ISACA. Todo. los derechos reBervado•.
~~
<D
Q..'"CI
t?
n::a
'!>c:
I't> c
¡;-""t
= ~
-
Q..
;t!!. LAST NAME (Sklp. s.. oe) FIRST NAME (Sklp. Sp...) Middle Inlllal STATE ""t~ c
r.nDE :3 -<
2~
2~
I I , , I EXAMINATlON(S) YOU ARE TAKlNG
TODAY·S
=
_·c
=~""t
""t =
==
~ 'fst¿~
~ ¡.ª
g.~ CITV STATE g ¡¡¡ ¡[
~ §
000000 0000000000000000 0000000
~ ®®®®®®®®®®®®®®®®®®®®®®®® ®®®®~
® ®®®®®®®®®®®®®®®®®®®®®®®®®~®® @
DATE ~~
==
= ~
...... I't>
~
.." in
g-Qt
.
.. CA
~
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ 10000
A BCD A BCD
210000
A BCD
410000
A BCD
610000
cl't>
""""
=-S-
:::c
e ~
CiJ
""\a
g
: if ~ @@@@@@@@@@@@@@@@@@@@@@@@®@@@ @ A BCD A BCD A BCD A BCD I't>=-
~~ ~ ®®®®®®®®®®®®®®®®®®®®®®®®®®®® ® 20000 220000 420000 620000 ::lc ::t:- ==
sr
g.¡ ® ®®®®®®®®®®®®®®®®®®®®®®®®®®®® ~ A BCD A BCD A BCD A BCD
I't> ......
""= e Jn
!" CA '<Q.. IT'I
iil' ID ®®®®®®®®®®®®®®®®®®®®®®®®®®®®@ 30000 230000 430000 630000 Q..1't> :::a ::a
CA ID ®®®®®®®®®®®®®®®®®®®®®®®®®®®®@ A BCD A BCD A BCD A BCD I't>,""t
0""1't> IT'I CD
"'C D0000000000000, 0000000000000G 40000 240000 440000 640000 _."" en ~
~
'1:1
m000000000000 J
®®®®®®®®®®®®®®K ®®®®®®®®®®®®®@
0000000000000 ª
50000
A BCD A BCD
250000
A BCD
450000
A BCD
650000
-'"t:I
Di
• =
I't>
""'CI
c::
IT'I
s:::::
CD
en
~ © ©©©©©©©©©©@@@L @@@@@@@@@@@@@ [ A BCD A BCD A BCD A BCD
t"';!4..
== en sr
~ ®®®®®®®®®®®®®®M ®®®®®®®®®®®®®@ 60000 260000 "" ¡;! en
l· ®®®®®®®®®®®®®®®®®®®®®®®®®®®®®G
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
® ®®®®®®®®®®®®®®®®®®®®®®®®®®®® ~
70000
A BCD
A BCD
A BCD
270000
A BCD
460000
A BCD
470000
660000
A BCD
670000
~'"t:I
==
-< ""t
I't>=
Q.. ......
en
e
IT'I
""""==
~
""I:i
::z::
~
~ A BCD A BCD I't>C
r- -
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ 80000 280000 480000 680000 ""t :3 ~. em
.g~ I!!
I't>=
®®®®®®®®®®®®®®®®®®®®®®®®®®®®®@ A BCD A BCD A BCD A BCD ~""t
l·
C")
®® ®®®®®®®®®®®®®®®®®®®®®®®®®®®@ 90000 290000 490000 690000 = I't>
IT'I :::a
111 3: m
iil
()
@0 @@@000@0@@0@@@00000000@@000 cr
@@ @@@@@@@@@@@@@@@@@@@@@@@@@@@@
A BCD A BCD A BCD A BCD ............
I't>
""
-
I't> ""'CI
r-
ti)
"'ti
g: 100000 300000 500000 700000 =
~:3
I't>
o c:
®® ®®®®®®®®®®®®®®®®®®®®®®®®®®® ~ m
~
A BCD A BCD A BCD A BCD 1't>'"t:I
!!!. ®® @@@®®®@®@®®®®®@®®®®®®®@®®®®¡ 110000 310000 510000 710000 ;:S- e
IT'I :o
en
j;!
~ ®® ®®®®®®®®®®®®®®®®®®®®®®®®®®® x A BCD A BCD A BCD A BCD "" Q..
..o
~ -mQ3
®®®®®®®®®®®®®®®®®®®®®®®®®®®®®® 120000 320000 520000 720000 = I't> en
I
O
1 ¡®®®®®®®®®®,® ®®®0®®®®,®® ®®®®®,®®®€
SPECIAL CODES TESTCODE
130000
A BCD
A BCD
A BCD
330000
A BCD
A BCD
530000
A BCD
A BCD
730000
A BCD
I't>
:3 ~
= =
Q..:3
I't>
I't>
g¡
3:
IT'I
:z
C")
-.
e
m
r-
~
o.
~ 140000 340000 540000 740000 ~g m
en A BCD A BCD A BCD A BCD -""'CI ==
el.
3:
-6 150000 350000 550000 750000 l:f:3 :::a "'ti
I't>c
= c:: 5
iD A BCD A BCD A BCD A BCD ¡;
--= IT'I
~ e
~
160000 360000 560000 760000
A BCD A BCD A BCD A BCD
e; = ~ Si
CD
m
8" ""
I't> '"t:I m
170000 370000 570000 nOOOO ""t ""'CI
><
= ==
-
~
c .)
180000
190000
A BCD
A BCD
A BCD
380000
A BCD
390000
A BCD
580000
A BCD
590000
A BCD
780000
A BCD
790000
I't>=
~O""
=
==_.
I't>
1't>'"t:I
""t I't>
=
...... _""t
:::a
IT'I
!::
3:
:z
~
~
®
l>
3:
m
2
':¡j
A BCD A BCD A BCD A BCD ::t:- en :::a
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
200000 400000 600000 800000
PLEASE TURN OVER
I't>
=
-==
=
El_
""t
'"t:I '"t:I
-
:::a -6
ñ>
:=
c:
m
IXI
l>
=,=
~""t ~ "'ti
5·= 8" :::a
m
= ....., r-
0\
~ .....
Q 3:
......... CA,) 2:
l>
~
HOJA DE RESPUESTAS DEL EJEMPLO DE EXAMEN (PRUEBA PRELIMINAR)
e CISA
Certilied InformalJon
Syste,Audltor'
An IWA·cert~ l,,"
(Lado 2)
Por favor, utilice esta hoja de respuestas para tomar el ejemplo de examen como una prueba preliminar para
determinar puntos fuertes y débiles. La clave de respuestas/el esquema de referencias se encuentra en la página 69.
-
_ ! g :s
- ~
I ~ :1 !lI ~ l!! !! ~ :: :s
:: !!3 g; I'!I
O~O~O~O~O~O~O~O~O~O~O~O~O~O~O~O~O~O~O~O~
~ ~ = z: o(
o
e
- ~ OmOmOmOmOmOmOmOmOmOmOmOmOmOmOmOmOmOmOmOm XI
- !l 000000000000000000000000000 0 000000000000 en
- ~ 0000000000000000000000000000000000000000 6
z
:: II ~
e
::u
m
: i
- ~
r-
:- I
::u
m
, "e:a
: ~
m
e
--- :z::
m
::u
-
:- 1~ "
~
- !l
: I
: f
: J
-
-- i
~
1:
:I
---
----
---
-
_ r--------------------,
,.en
- s::::
'ti
r-
m
••

'i' r
¡¡¡¡¡:
i!;!l =o
"CJ"C
::1 ~
?
~
- ~
J>c: c.
oS'
\~J
• 111 o
-4_
<:
.:¡: ¡
!tao
.. CI>
IAST NAME (SlOp. opaoe) FIRST NAME (Sltip. apaca) Middle InltJal
e¡"
2'~ '-"
i.
-." , • I EXAMINATlON(S) YOU ARE TAKJNG ~~
_.
;:¡s..
rIj= ~ !t, iiª
~ l!.
~
t~
¡¡: :::s 00000000000000000000000000000 CITV STATE TODAY'S
DATE ~~ i ~~
=
-:rQt ~®®®®®®®®®®®®®®®®®®®0@®@®@®®®~ c.~ ~ 1{!
~.!ft 'I®®®®®®®®®®®®®®®®®®®®®®®®®®®®®€ A BCD A BCD A BCD A BCD
~'CI.l
r::r ...... ::c~ g
:~
.. fh
~'tJ
©©©©©©©©©©©©©©©©©©©©©©©©©©©©©@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
10000
A BCD
210000
A BCD
410000
A BCD
610000
A BCD
=:~
~::r
~a .
e
l>
§
6t
g-¡ ®®®®®®®®®®®®®®®®®®®®®®®®®®®®®~ 20000 220000 420000 620000 t""~
~c.
CI ..sn
~~ ®®®®®®®®®®®®®®®®®®®®®®®®®®®®®~ A BCD A BCD A BCD A BCD t":l t't> m :=a
el ®®®®®®®®®®®®®®®®®®®®®®®®®®®®®@ 30000 230000 430000 630000 =~
-< ::ICI ~
'oc: ®®®®®®®®®®®®®®®®®®®®®®®®®®®®®@ A BCD A BCD A BCD A BCD <'t>"CJ
e¡"
~ "b
~ 00000000000000· 0000000000000a 40000 240000 440000 640000 c.=
<'t><'t> -a ~
1: ~000000000000J 0000000000000ª A BCD A BCD A BCD A BCD ~'"
c: en
¡;: ~®®®®®®®®®®®®®K ®®®®®®®®®®®®®€ 50000 250000 450000 650000 ~S- IT'I
en 6t
en
~.
:::s
Y@@@@@@@@@@@@@L
~@@@@@@@@@@@@@M
@@@@@@@@@@@©@~
@@@@@@@@@@@@@@ 60000
A BCD A BCD
260000
A BCD
460000
A BCD
660000
"CJ'"
="CJ
<'t> ~
'"
...... ~
:s
en
'-c::
~ ~
:: &®®®®®®®®®®®®®®®®®®®®®®®®®®®®@ A BCD A BCD A BCD A BCD ~
......
~
~ CI "t::i
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ 70000 270000 470000 670000 !i!!.o m ::::
t v®®®®®®®®®®®®®®®®®®®®®®®®®®®®€ A BCD A BCD A BCD A BCD ~:3 r- ~
." <'t>~ em
~ @@@@@@@@@@@@@@@@@®@@@@@@@@@@@@ 80000 280000 480000 680000 '" ~ I!! ~.
¡
~
~.
ID®®®®®®®®®®®®®®®®®®®®®®®®®®®®@
~®®®®®®®®®®®®®®®®®®®®®®®®®®®®®
~®®®®®®®®®®®®®®®®®®®®®®®®®®®®~
90000
A BCD
A BCD
A BCD
290000
A BCD
A BCD
490000
A BCD
A BCD
690000
A BCD
=-
..c<'t>
<'t> <'t>
:3 .....
~t't>
IT'I
3: ==
-a ~
o ::a
m
th
"a
o. @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ 100000 300000 500000 700000 c.:3 r- t::t. c:
:::s <:) C'D m
~®®®®®®®®®®®®®®®®®®®®®®®®®®®®~
t't>"5!,.
!!!.. A BCD A BCD A BCD A BCD ~ o CI th
~
®®®®®®®®®®®®®®®®®®®®®®®®®®®®® 110000 310000 510000 710000 <'t>c.
:;"t't>
m ~ i!
I
®®®®®®®®®®®®®®®®®®®®®®®®®®®®®~
00000000000000000000000000000~ 120000
A B e o A B
320000
e o AB e o
520000
A B
720000
e o ~ t't>
<'t>
::1 ~
~
~ "2iil th
e
Q
Izz®®®z®zzz®®®®®®®®®®zzz®®®®®®z
130000
A BCD A BCD
330000
A BCD
530000
A BCD
730000
~':3
~ t't>
'" =
3:
m -.
C")
m
roo
~
en
.§
140000
A BCD
A BCD
A BCD
340000
A BCD
A BCD
540000
A BCD
A BCD
740000
A BCD
~t":l
<'t>o
::1
t":l
:3
o
- -==
:z
-a
::ICI
o.
Q)
~
m
:¡¡¡:
"a
= =
r
O
150000
160000
A BCD
A BCD
350000
A BCD
360000
A B e o
550000
A BCD
560000
A BCD
T50000
A BCD
760000
A BCD
<'t> ::1
s.~
~"O
<'t> ~
::I~
c:
IT'I
!: ~~
-a
~ 5
e
m
m
170000 370000 570000 nOOOO
~
<:)
~
.... - r::r ~
Ct.:I
A BCD A BCD A BCD A BCD ~~
"CJ"CJ ~ ~ :¡¡¡:
180000 380000 580000 780000 ~'o IT'I m
A BCD A B e o A BCD A BCD ~.~ 25! ® Z
190000 390000 590000 790000 ::1 t't> <:) en
A BCD
200000
A BCD
400000
A BCD
600000
A BCD
aoOOOO
PlEASE TURN OVER
= ::t
0\0
\C ~
'''0
~
-
::ICI .§
CD
==
'=ü
m
::a
c:
al
I I I I I I I I I I I I I I I I I I III I I I I I I I III I I I I I I I I I I I I I I I I I I I I I I I I I I I I I I I I ~ ~ JlO
C. "a
8' O
~
~
"-.)
~
....
:3
5'
.....
Q
W
m
::a
CA) ~
~
O
~
HOJA DE RESPUESTAS DEL EJEMPLO DE EXAMEN (PRUEBA POSTERIOR) ~C=IS, M Certmed
Systems, InformatlDn
AudltDr'
I
"'1~C«111blk1o'1
(Lado 2)
Por favor, utilice esta hoja de respuestas para tomar el ejemplo de examen como una prueba posterior para determinar
puntos fuertes y débiles. La clave de respuestas/el esquema de referencias se encuentra en la página 69.
--- ( - f g ~ = ~ • ~ ~ ~ ~ ~ I = ~ ~ = ~ ~ ~ ~ ~ <
oc:
----
~
0·0·0·0·0·0·0·0·0·0·0·0·0·0·0·0·0·0·0·0·
OmOmOmOmOmOmOmOmOmOmOmOmOmOmOmOmOmOmOmOm :u
.i OnOnOnOnOnOnOnOnOnOnOnOnOnOnOnOnOnOnOnOn en
~ OcOcOcOcOcOcOcOcOcOcOcOcOcOcOcOcOcOcOcOc S
--- ; z
~
c:
:u
--- I m
~
---
í r-
:u
m
O
----
:i
1 c:
,. ii
m
~ t:I
--- ,.. :::c

m
:u
~
---- I
---- t
!l
z
---- f
}
---- 1..
~
~
---
---
---
,.
en
1:
'ti
r-
m
• •

e . ,. . . . . .
system~Audltor'
.lnISACo\'Cer1l1lglloll
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ __
EVALUACIÓN
_ _ _ _ _ _ _ __
EVALUACiÓN
ISACA monitorea constantemente los rígidos y profundos avances profesionales, tecnológicos y de entorno que afectan a las profesiones de auditoría y
control de SI. Reconociendo estos rápidos avances, el Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA®Suplemento
2013 se publica anualmente con 100 nuevas preguntas, respuestas y explicaciones.
A fin de ayudar a que ISACA se mantenga al día con estos avances, por favor tómese unos minutos para evaluar el Manual de Preguntas. Respuestas y
Explicaciones de Preparación al Examen CISA®Suplemento 2013. Tales opiniones son valiosas para prestar un completo servicio a la profesión y a los
futuros candidatos para el examen CISA.
Para completar la evaluación en el sitio web, visite www.isaca.org/sludyaidseva/uation.
Gracias por su apoyo y colaboración.
Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen elSA Suplemento 2013 75

"
Prepárese para
los exámenes
CISA 2013
Rec...sos de Revisión de Preparación pn el Examen y Des..roRo Profesional CISA 2013
Los candidatos que aprueban el examen Certified Information Systems Auditors' (CISA®) tienen un plan de estudio orga-
nizado. Afin de brindar apoyo alas personas con el desarrollo de un plan de estudio exitoso, ISACA®ofrece varias guías de
estudio ycursos de repaso para los candidatos al examen. Estas incluyen:
Materiales de estudio
• Manual de Preparación al Examen CISNSJ 2013
• Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA® 2013
• Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA® Suplemento 2013
• Base de Datos de Preguntas de Práctica v13 CISA®
Para hacer un pedido, visite www.isaca.org/cisabooks.
Cursos de Preparación al Examen

• Cursos de Preparación al Examen patrocinados por el capítulo (www.isaca.org/cisareview)
• Curso en Línea de Preparación al Examen CISA® (www.isaca.org/eleaming)
rros/ in. and "fue (rom. ;nformsUon sys/8ms

~C~ls3 e."'","",,,••
M Systems. Auditor'
An 1SACA"c.nlftcllbn


Cisa Q&a1

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cisa Q&a1

Cargado por

Copyright:

Formatos disponibles

Certified Information

Cláusula de exención de responsabilidad

Participe en el Centro de Conocimiento de ISACA (ISACA Knowledge Center): www.isaca.org/knowledge-center

ii Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA Suplemento 2013

Equipo de Aseguramiento de la calidad de CISA

Maria Patricia Prandini, ClSA, CRISC, Argentina

iv Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA Suplemento 2013

PREFACIO ................................................................................................................................................................................................................................. iii

INTRODUCCIÓN ............................................................................................................... ,.................................................................................................... vii

PREGUNTAS, RESPUESTAS Y EXPLICACIONES POR DOMINIO ............................................................................................................................ 1

PRUEBA POSTERIOR ........................................................................................................................................................................................................... 51

CLAVE DE RESPUESTAS Y REFERENCIAS DEL EJEMPLO DE EXAMEN .......................................................................................................... 69

HOJA DE RESPUESTAS DEL EJEMPLO DE EXAMEN (PRUEBA PRELIMINAR) .............................................................................................. 71

HOJA DE RESPUESTAS DEL EJEMPLO DE EXAMEN (PRUEBA POSTERIOR) ................................................................................................. 73

PREPÁRESE PARA LOS EXÁMENES CISA 2013 .................................. ,..................................................................................................".................... 76

Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA Suplemento 2013 v

Esta página se dejó intencionalmente en blanco

vi Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA Suplemento 2013

Preguntas Ordenadas por Dominio

TIPOS DE PREGUNTAS DEL EXAMEN CISA

Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen C/SA Suplemento 2013 ix

Esta página se dejó Intencionalmente en blanco

x Manual de Pregunta., Respuestas y Explicaciones de Preparación al Examen CISA Suplemento 2013

PREGUNTAS, RESPUESTAS V EXPLICACIONES POR DOMINIO

DOMINIO 1-PROCESO DE AUDITORíA DE SISTEMAS DE INFORMACiÓN (14%)

A. Priorizar el riesgo identificado.

Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA Suplemento 2013 1

A. los activos de información más valiosos.

A. prueba de diseño de control.

2 Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen C/SA Suplemento 2013

A. Requisitos estatutarios aplicables

A. Quitar al auditor de SI de la participación.

A. Narrativa del proceso

Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen C/SA Suplemento 2013 3

A. Establecer los requerimientos de personal necesarios para completar la auditoría de SI

4 Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA Suplemento 2013

A. La reducción de horas de trabajo de TI para apoyar la auditoría

Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA Suplemento 2013 5

A. Desarrollo de un programa de auditoría

6 Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen C/SA Suplemento 2013

Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA Suplemento 2013 7

8 Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA Suplemento 2013

DOMINIO 2-GOBIERNOY GESTiÓN DETI (14%)

A. La política de seguridad de información no es periódicamente revisada por la alta gerencia.

A. La distancia total geográfica entre el sitio alternativo y el principal

Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA Suplemento 2013 9

A. Un inventario de los activos críticos

A. Reducción del riesgo

A. El plan es aprobado por el director de información (CIO),

10 Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA Suplemento 2013

A. La alta gerencia tiene una participación limitada.

A. La inclusión de una declaración general legal en cada política

Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA Suplemento 2013 11

A. Los controles se aplican sobre la base de análisis costo-beneficio.

12 Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA Suplemento 2013

A. el menor costo en términos de tiempo de inactividad.

AS2-14 El objetivo PRINCIPAL de un análisis de impacto al negocio (BIA) es:

A. un plan para reanudar las operaciones después de un desastre.

14 Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA Suplemento 2013

A. garantiza que el personal reciba capacitación cruzada.

Manual de Preguntas, Respuestas y Explicaciones de Preparación al Examen CISA Suplemento 2013 13

DOMINIO 3-ADQUISICIÓN, DESARROLLO E IMPLEMENTACiÓN DE SISTEMAS DE INFORMACiÓN (19%)

A. la funcionalidad del sistema cumple con los requisitos del cliente.