Preguntas CISA

March 29, 2018 | Author: Oscarin Urquizo | Category: Comptroller, Software, Sampling (Statistics), Planning, Financial Audit


Comments



Description

PreguntaI Las responsabilidades de un auditor de SI de detectar el fraude incluye evaluar los indicadores de fraude y decidir si es necesaria alguna Después de la investigación inicial, un auditor de SI tiene motivos para creer que puede estar en presencia acción adicional o si se debe recomendar una investigación. El auditor de SI debe notificar a las autoridades apropiadas dentro de la organización solamente si ha determinado que los indicadores de fraude son suficientes para recomendar una investigación. Normalmente, de fraude. El auditor de SI debe: el auditor de SI no tiene autoridad para consultar con un asesor legal externo. I La ventaja PRIMARIA de un enfoque continuo de auditoría es que: I ¿Cuál de las opciones siguientes es la técnica de auditoría MÁS efectiva para identificar violaciones a la segregación de funciones en una nueva implementación de un sistema de planificación de recursos de empresa (ERP)? I El estatuto de auditoría de SI de una organización debería especificar: I Reespuesta adecuada El uso de técnicas continuas de auditoría puede en realidad mejorar la seguridad del sistema cuando se usa en entornos que comparten el tiempo que procesan un gran número de transacciones, pero dejan muy pocas pistas de papel. La opción A es incorrecta ya que el enfoque de auditoría continua a menudo requiere que un auditor de SI recolecte evidencia sobre la confiabilidad del sistema mientras está llevando a cabo el procesamiento. La opción B es incorrecta ya que un auditor de SI normalmente revisaría y daría seguimiento sólo a las deficiencias materiales o errores detectados. La opción D es incorrecta ya que el uso de técnicas de auditoría continua depende efectivamente de la complejidad de los sistemas de computadora de una organización. Debido a que el objetivo es identificar violaciones a la segregación de funciones, es necesario definir la lógica que identificará los conflictos en la autorización. Se podría desarrollar un programa para identificar estos conflictos. Un informe de derechos de seguridad en el sistema de planificación de los recursos de la empresa (ERP) sería voluminoso y requeriría mucho tiempo para su revisión; por lo tanto, esta técnica no es tan efectiva como la creación de un programa. A medida que las complejidades aumentan, se vuelve más difícil verificar la efectividad de los sistemas, y la complejidad no está vinculada por sí sola a la segregación de funciones. Es buena práctica revisar los casos recientes de violación de derechos; sin embargo, pudiera requerir una cantidad de tiempo significativa el verdaderamente identificar cuáles violaciones resultaron realmente de una segregación inapropiada de funciones. El estatuto de auditoría de SI establece el rol de la función de auditoría de sistemas de información. El estatuto debería describir la autoridad general, el alcance y las responsabilidades de la función de auditoría. Debería ser aprobado por el más alto nivel de gestión y, de estar disponible, por el comité de auditoría. La planificación de corto y largo plazo es responsabilidad de la gestión de auditoría. Los objetivos y el alcance de cada auditoría de SI deberían acordarse en una carta de compromiso. La gestión de auditoría debería desarrollar un plan de entrenamiento, basado en el plan de auditoría. Los estándares de auditoría requieren que un auditor de SI recopile evidencia de auditoría suficiente y apropiada. El auditor descubrió un Un auditor de SI está realizando una auditoría a un problema potencial y ahora necesita determinar si se trata de un incidente aislado o una falla sistemática de control. En este punto es servidor de copias de respaldo administrado desde demasiado pronto para emitir un hallazgo de auditoría; la acción de solicitar una explicación a la gerencia es aconsejable, pero sería una ubicación remota. El auditor de SI revisa los mejor recopilar evidencia adicional para evaluar apropiadamente la seriedad de la situación. Una falla de respaldo, que no se ha logs de un día y descubre un caso en el cual el establecido en este punto, es seria si involucra datos críticos. Sin embargo, el asunto no es la importancia de los datos presentes en el inicio de sesión en un servidor falló con el servidor donde se detectó un problema, sino la posibilidad de que exista una falla sistemática de control que tenga un impacto en otros resultado de que no se pudo confirmar los reinicios servidores. de la copia de respaldo. ¿Qué debería hacer el auditor? I Un Contrato de auditoría debería: Un contrato de auditoría debería establecer los objetivos de la gerencia para, y la delegación de autoridad a la auditoría de SI. Este contrato no debería cambiar de manera significativa con él tiempo y debería ser aprobado al nivel más alto de la gerencia. El contrato de auditoría no estaría a un nivel de detalle y por lo tanto no incluiría objetivos o procedimientos específicos de auditoría. I Un auditor de SI revisa un organigrama PRIMARIAMENTE para: Un organigrama provee información sobre las responsabilidades y la autoridad de personas en la organización. Esto ayuda al auditor de SI a saber si hay una segregación apropiada de funciones. Un diagrama de flujo de trabajo proporcionaría información sobre las funciones de diferentes empleados. Un diagrama de red proveerá información sobre el uso de diversos canales de comunicación e indicará la conexión de los usuarios a la red. I En una auditoría de SI de varios servidores críticos, elLas herramientas de detección de tendencias /varianzas buscan anomalías en el comportamiento de usuarios o del sistema, por ejemplo, determinando para los documentos prenumerados si los números son secuenciales o incrementales. Las herramientas CASE se auditor quiere analizar las pistas de auditoría para usan para asistir en el desarrollo de software. El software integrado de recolección de datos (auditoría) se usa para tomar muestras y para descubrir potenciales anomalías en el comportamiento de usuarios o del sistema. ¿Cuál de proveer estadísticas de producción. Las herramientas heurísticas de escaneo se pueden usar para escanear en busca de virus para indicar las herramientas siguientes es la MÁS adecuada para códigos posiblemente infectados. realizar esa tarea? I I I I I I I I I Un auditor de SI emite un reporte de auditoría señalando la falta de funciones de protección de firewall en Cuando un auditor de SI recomienda un vendedor específico, el gateway perimetral de red y recomienda un producto de vendedor para resolver esta vulnerabilidad. El auditor de SI ellos comprometen la independencia profesional. La independencia organizacional no tiene relevancia con respecto al contenido de un no ha ejercido: reporte de auditoría y debe ser considerado en el momento de aceptar el compromiso. La competencia técnica y profesional no es relevante Un control de revisión de aplicaciones implica la evaluación de los Un auditor de SI que realiza una revisión de los controles de aplicación evaluaría: para el requisito de independencia. controles automatizados de la aplicación y una evaluación de cualesquiera exposiciones resultantes de las debilidades del control. Las otras opciones pueden ser objetivos de una auditoría de aplicación perodenoSI forman de sobre una planificar auditoría El Lineamiento de Auditoría G15 de parte ISACA Mientras se planifica una auditoría, se debe hacer una evaluación del riesgo para proveer: restringida a una revisión de controles. los estados de auditoría de SI, "Se debe hacer una evaluación del riesgo para proveer aseguramiento razonable de que los puntos materiales serán cubiertos de manera adecuada durante el trabajo de auditoría. Esta evaluación debe identificar las áreas con una riesgo Dada una tasa esperada de error y nivel de confianza, el muestreo Un auditor de SI debe usar muestreo estadístico, y no muestreo de opiniones (no estadístico) cuando: relativamente elevado de la existencia de problemas materiales." estadístico es un método objetivo de muestreo, que ayuda a un auditor El aseguramiento definido de que los puntos materiales estarán de SI a determinar el tamaño de la muestra y a cuantificar la cubiertos durante el trabajo de auditoría es una proposición impráctica. probabilidad de error (coeficiente de confianza). La opción B es El aseguramiento razonable de que todos los puntos serán cubiertos incorrecta aporque el riesgo de muestreo es el riesgo de que una Comparar los totales de control delalos datos importados durante el trabajo de auditoría no es respuesta correcta, ya con que los Un auditor de SI ha importado datos de la base de datos del cliente. El paso siguiente para confirmar si los datos muestra no sea representativa de la población. Este riesgo existe tanto totales de control de los datos originales es el siguiente paso lógico, ya puntos materiales necesitan ser cubiertos, no todos los puntos. importados están completos se lleva a cabo: para las muestras de opinión como para las estadísticas. La opción C es que esto confirma la integridad de los datos importados. No es posible incorrecta porque el muestreo estadístico no requiere el uso de confirmar la totalidad (completeness) clasificando los datos importados, software generalizado de auditoría. La opción D es incorrecta porque porque los datos originales pueden no estar en el orden de clasificación. la tasa tolerable de un errores debe ser predeterminada tanto para el primera que auditor de totales SI debe después de detectar Además la cosa clasificación no provee dehacer control para verificar la Mientras lleva a cabo una auditoría, un auditor de SI detecta la presencia de un virus. ¿Cuál debe ser el paso siguiente del La muestreo de opinión como para el estadístico. el virus es alertar a la organización sobre su presencia, luego auditor de SI? totalidad (completeness). Revisar una impresión de esperar su respuesta. La opción A debecon ser emprendida de la 100 registros de datos originales 100 registrosdespués de datos opción C. Esto permitirá al auditor de SI examinar el funcionamiento importados es un proceso de verificación física y confirma la real y la eficacia sistemaregistros de respuesta. Un auditor de SI no debe hacer corrección de delestos solamente. Filtrar datos para Durante la recolección de evidencia forense, ¿cuál de las acciones siguientes tiene MÁS posibilidades de causar la Reiniciar el sistema puede causar un cambio en el estado del sistema y cambios al sistema que está auditando; asegurar la eliminación del virus diferentes categorías y compararlos con los datos originales destrucción o corrupción de evidencia en un sistema comprometido? la pérdida de archivos y evidencia importante almacenados en la es la responsabilidad la gerencia. aún requeriría quedese desarrollen los totales de control para memoria. Las otras opciones son acciones apropiadas para preservar la confirmar la totalidad de los datos. evidencia. ¿Cuál de las opciones siguientes es el beneficio clave de la autoevaluación de control (CSA)? ¿Cuál de las siguientes formas de evidencia para el auditor se consideraría la MÁS confiable? El objetivo de la autoevaluación de control es inducir a la gerencia del negocio a estar más consciente de la importancia del control interno y de su responsabilidad en términos del gobierno corporativo. La reducción de los gastos de auditoría no es un beneficio clave de la autoevaluación de control La evidencia obtenida de fuentes externas es por lo pero general (CSA). Una mejor detección de fraude es importante, no más confiable que la y obtenida tanto como la propiedad, no es un desde objetivo dentro principaldede la la organización. Las cartas de confirmación recibidas desde el exterior, CSA. La CSA puede ofrecer información más detallada a los como por ejemplo las usadas para verificar balances un de cuentas por auditores internos, permitiendo que los asuman rol más cobrar, son por lo general altamente confiables. La prueba realizada consultivo; sin embargo, este es un beneficio adicional, no el Las respuestas B. la discusión con la gerencia proveería solo información limitada respecto a la segregación de funciones.¿qué enfoque proveería la MEJOR evidencia de que las órdenes de compra son válidas? Para determinar la validez de una orden de compra. el auditor de SI debería obtener garantía de que los incidentes SI descubre que el proceso de administraciónreportados se relacionan con deficiencias en el proceso de gestión de cambios y que no fueron causados por algún proceso diferente a la gestión de cambios. pero no proveería información completa sobre las funciones que ellos desempeñan. Un riesgo de control es controlado por las acciones de la gerencia de la compañía. Las otras elecciones se usan en comprobaciones substantivas que involucran la comprobación de detalles Observando el personal de SI cuando realiza sus tareas. ¿Las decisiones y las acciones de un auditor es MÁS probable que afecten a cuál de los riesgos siguientes? Un riesgo de detección está directamente afectado por la selección. ¿Qué técnica de auditoría provee la MEJOR evidencia de la segregación de funciones en un departamento de SI? auditor puede obtener un panorama general de las tareas realizadas. ¿Cuál de los siguientes métodos de muestreo es el MÁS útil cuando se pone a prueba su cumplimiento? El muestreo de atributos es el método primario de muestreo que se usa para comprobar el cumplimiento. de los procedimientos y técnicas de auditoría. Durante una auditoría de control de cambiosUn proceso de gestión de cambios es crítico para los sistemas de producción de TI. por lo tanto. rediseñar el proceso de gestión de cambios). probar los controles de acceso proveerá la mejor evidencia. El auditor debe: Incluir el hallazgo en el reporte final es una práctica de auditoría generalmente aceptada. Auditores de SI para: El flujo de los datos no coincidirá necesariamente con ningún orden jerárquico o de generación de datos. Llegar a la conclusión de que se registró un delito sería parte de un proceso legal y no el objetivo de una auditoría forense. Las auditorías forenses no se limitan a fraude corporativo. ¿Qué debería hacersería el normalmente auditor deLa evidencia obtenida de terceros independientes casi siempre es considerada la más confiable. Si se emprende una acción después de que comenzó la auditoría y antes de que terminara. mientras que la opción D no sirve el propósito porque lo que está en la documentación de sistema puede no ser lo mismo que lo que está ocurriendo. Una acción correctiva ha sido tomada por un auditado inmediatamente después de la identificación de un hallazgo que debería ser reportado.I I I I I I I I I Los diagramas de flujo de datos son usados por los Los diagramas de flujo de datos se usan como ayudas para graficar o diagramar el flujo y almacenamiento de datos. Evaluar la exactitus de los estados financieros de una organización no es el propósito de una auditoría forense. El muestreo de atributos es un modelo de muestreo que se usa para estimar la tasa de ocurrencia de una calidad especifica (atributo) en una población y se usa en la comprobación de cumplimiento para confirmar si esta calidad existe o no. Todas las acciones correctivas emprendidas por el auditado deben ser reportadas por escrito.Antes de recomendar que la organización tome alguna otra acción de un sistema en producción. el auditor puede evaluar la segregación de funciones. un auditor de(por ejemplo. En una auditoría de una aplicación de inventario. de cambios no está documentado formalmente y que algunos procedimientos de migración ¿Cuál de las siguientes opciones fallaron. por parte del auditor. C y D no serian consideradas confiables. La evidencia recolectada podría utilizarse posteriormente en procesos judiciales. el auditor de SI puede identificar si ellos están realizando operaciones no compatibles y entrevistando el personal de SI el o cantidad. Un organigrama no proveería detalles de las funciones de los empleados y la prueba de los derechos de usuario proveería información sobre los derechos que ellos tienen dentro de los sistemas de SI. Las opciones B y C se basan en enfoques posteriores a los hechos. La gerencia no puede estar en conocimiento de las funciones detalladas de cada empleado en el departamento de SI. el reporte de auditoría debe identificar el hallazgo y describir la acción correctiva tomada. Un reporte de auditoría debe reflejar la situación. la evidencia MÁS confiable para un auditor? SI a continuación? El propósito PRIMARIO de una auditoría forense de TI es: La opción B describe una auditoría forense. Los diagramas de flujo no ordenan los datos en ningún orden jerárquico. Los riesgos inherentes por lo general no están afectados por el auditor de SI. Basado en las observaciones y entrevistas. tal como ésta existía en el comienzo de la auditoría. . resaltando las rutas y el almacenamiento de los datos. con ellos se rastrean los datos desde su origen hasta su destino. interrumpir las migraciones. Los riesgos financieros no están afectados por el auditor de SI. Por el mismo punto. la (BCP) de una empresa. Identificar las debilidades de control no es la razón primaria para el recorrido y típicamente ocurre en una etapa posterior en la auditoría. Informar alLas equipo planificación de continuidad Mientras revisaba los papeles de trabajo electrónico sensitivos. la probabilidad es elevada debido al nivela de correcta. El auditor de SI conocimientos técnicos que se requiere para penetrarlaexitosamente a la A pesar correcta.es (por ejemplo. Las otras La decisión final de incluir un hallazgo material en un informe de auditoría debe ser El tomada por el: opciones limitarían la independencia del auditor. Cuando se diseña un plan de auditoría. es necesaria una planeación cuidadosa y los datos de prueba deben ser aislados de los datos de producción. comprometer: motivo para requerir la encripción. Los módems externos representan un riesgo de seguridad. Rechazar asignación no es red. es importante identificar las áreas de más alto riesgo para determinar las áreas a ser auditadas. el hecho de que muchos IDs de hallazgos siguientes debería preocupar MÁS al auditor de SI? usuario tengan contraseñas idénticas representa la mayor amenaza. noasignación afectan la no confidencialidad sino que forman parte del de BCP no tiene la autoridad para decidir sobre este asunto. Cualquier cosa que parezca una amenaza para el auditado reducirá la efectividad de la comunicación y establece una relación controvetida. que el monitoreo de podría red puede ser un gerencia antes de comenzar la asignación. y el tiempo asignado para una auditoría está determinado por las áreas a ser auditadas. las cuales son primariamente seleccionadas con base en la identificación de los riesgos. un auditor de SI no deberia ponerse de acuerdo automáticamente con el auditado auditor cuando de SI exprese debe tomar su punto la decisión de vista finaldiferente. que trata con cómputo de pagos. el auditor aprobación La encripciónantes pruebay la de los papeles de trabajo electrónicos. hallazgos y recomendaciones no se haría hasta que todos los resultados fueran confirmados. pistas de auditoría. el paso MÁS crítico es la identificación de: ¿Cuál de los siguientes es una ventaja de una prueba integrada (ITF)? Entender el proceso de negocio es el primer paso que un auditor de SI necesita realizar.antes por sídemismos. más pruebas pueden ser llevadas a cabo y revisadas. por lo tanto. Sin embargo. Su ventaja es que las pruebas periódicas no requieren procesos separados de prueba.obtener sólo detectará el abuso dedelacuentas de Informar usuario enacircunstancias especiales y porconflicto lo tanto de no interés es una asignación después de la aprobación gerencia. Planear pruebas sustantivas se realiza en una etapa posterior de la auditoría. probable que sea el siguiente paso en la auditoría? Si el auditado esta en desacuerdo en cuanto al impacto de un hallazgo. Comunicar la posibilidad de software conflicto endesusinterés a la gerencia comenzar la ser asignación la respuesta Un auditor de SI que participó en el diseño del plan de continuidad del negocio debido a la de Caballos un de Troya o programas de interés. El objetivo deberia ser mostrar al auditado o descubrir nueva información que el auditor de SI no haya contemplado. key-logging). Las normas no requieren que un auditor de SI efectúe un recorrido de proceso. La barrera técnica es baja y el impacto puede ser muy elevado. Los pasos de prueba para la auditoría no son tan críticos como identificar las áreas de riesgo. Una prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prueba simultáneamente con la entrada en vivo. clarifique y de a conocer los riesgos que el auditado no ha valorado y la magnitud de su exposición.I I I I I I I I I El aprovechamiento de un ID y contraseña de usuario conocidos requiere mínimos conocimientos técnicos y expone los Un auditor de SI está evaluando una red corporativa en busca de una recursos de la red a la explotación posible penetración por parte de empleados internos. Mientras que el impacto de los usuarios que instalan computadoras puedeantes ser de elevado puede elevado. ha sido asignado para auditar el plan. Durante una entrevista final. porque se debería obtener la después de de completar noconfidencialidad después de completar la asignación. pero la explotación o aprovechamiento aún depende del uso de una cuenta válida de usuario. La razón PRIMARIA por la que un auditor de SI realiza un recorrido funcional durante la fase preliminar de una asignación de auditoría es: Al planear una auditoría. Los conjuntos de habilidades del personal de auditoría deberían haberse considerado antes de decidir y de escoger la auditoría. ¿Cuál de los siguientes es MÁSpreparación de reportes. la respuesta porque se aceptar la debería: control de detección útil. es importante que el auditor de SI elaboré. la asignación de auditoría no es la respuesta correcta. Un auditor de SI evalúa los resultados de prueba de una modificación a un sistemaEl auditor de SI debería luego examinar casos donde ocurrieron cálculos incorrectos y confirmar los resultados. ¿Cuál de los (maliciosa). la gerencia sobre el posible primera línea defensa. respecto a qué incluir o excluir del informe de auditoría. un auditor de SI debe: . Esto podría etapa de (BCP) auditoría y el acceso a los papeles de de interés trabajo. en los casos en que hay desacuerdo con respecto al impacto de un hallazgo. La no coinciden con los totales predeterminados. las aprobaciones de ladel negocio sobre el posible conflicto iniciar la es la respuesta correcta. Seinstalación debería comunicar posible conflicto de que pudiera afectar lanoindependencia del auditor. El auditor encuentra que el 50% de los cálculosDespués de que los cálculos hayan sido confirmados. porque el equipo de SI notó que los mismos no estaban encriptados. Esto ayuda a un auditor de SI a actuar antes de que un error o una errores o irregularidades? irregularidad se salgan de control. Los datos de prueba probarían si existen controles que pudieran impedir los El objetivo pero primario un programa de autoevaluación de controlanteriores. el auditor de SI debe: ¿Cuál de los siguientes es un atributo del método de autoevaluación de control (CSA)? evaluación subjetiva y a menudo cualitativa de las condiciones que surgen en el curso de una auditoría. CSA no Los procedimientos son porque procesoslaque unnoauditor SI puedede seguir en un compromiso reemplazar las responsabilidades de la auditoría. C y D son todas emprendidas para resolver los objetivos de auditoría y. las manifestaciones obtenidas de la gerencia no pueden ser verificadas de manera independiente. Un método de riesgo no tiene una correlación directa con que el personal de auditoría cumpla con los cronogramas en una auditoría en particular. sobrepagos de planilla/nómina para el año anterior. estratificación. a los gerentes de línea de área funcional. podría diseñar pruebas apropiadas ¿Cuál sería la MEJOR técnica de auditoría para usar en esta situación? para recalcular la planilla/nómina y. y las instantáneas o snapshots se usan cuando se requiere una pista de auditoría.de controlar. Las opciones B. La respuesta D es incorrecta Cuando selecciona los procedimientos de auditoría. C y D son características de un enfoque tradicional de auditoría. de ese modo. un auditor de SI debe usar un para asegurar que: porque CSA no permite que la gerencia su responsabilidad juicio la profesional apropiado a las delegue circunstancias específicas. Lo que ocurre es que la función de auditoría interna pasa algunas de las responsabilidades de monitoreo de control a las áreas funcionales. la meta PRIMARIA de un auditor de SI es: necesariamente que una variedad más amplia de auditorías se llevará a cabo en un año dado. Identificar debilidades materiales entrenamiento empleados. en hacer un juicio. de auditoríamejoramiento de SI. El desarrollo de un cronograma de auditoría no está dirigido por un método basado en el riesgo. sino aumentarlas.I I I I I I I I I Cuando hay una indicación de que una organización podría estar usando software sin licencia. La respuesta C es incorrecta CSA es un de reemplazo las auditorías tradicionales. (CSA) es la sobrepagos.para los aspectos y no el resultado de juicioB. El método basado en el riesgo está diseñado para asegurar que el tiempo de auditoría sea ¿Cuál de los siguientes es un beneficio de un método de planeación de auditoría basado en el riesgo? empleado en las áreas de mayor riesgo. es que ella: participación de tanto los auditores como la gerencia de línea. de ese modo. y prolijidad en de planificar ejecutar la auditoría interesados. juicio profesional no tradicional es un input . para resolver los objetivos de auditoría. La técnica de gancho de auditoría implica integrar el código en los sistemas de aplicación para el examen de ¿Cuál de las siguientes técnicas de auditoría en línea es MÁS efectiva para la detección temprana de las transacciones seleccionadas. Las opciones C y D son incorrectas porque no son las metas primarias de la planificación de auditoría. Las actividades descritas en las opciones B. de Laauditoría. ni quiere decir Las normas de auditoría de ISACA requieren que un auditor de SI planee el trabajo de auditoría Durante la etapa de planificación de una auditoría de SI. Con respecto a este asunto. La CSA se predica sobre la revisión de las áreas de alto riesgo que o bien necesitan atención inmediata o una Un beneficio PRIMARIO para una organización que emplea técnicas de auto evaluación de revisión más exhaustiva en una fecha posterior. verificación de duplicados y recálculos.las extensa participación y normas cuando efectúa un trabajo facultados. La opción B es incorrecta porque el auditor no recoge evidencia en la etapa de planificación de una auditoría. y a quiénes fueron efectuados.profesional. verificación de secuencia. no de detectarían los errores de cálculo específicos Ni apalancar una prueba El éxito de la autoevaluación de control (CSA) depende grandemente de: función de auditoría interna cambiando algunas de las responsabilidad de monitoreo de control integrada ni un módulo integrado de auditoría detectarían errores para un período anterior. El juicio profesional implica una A pesar de que la gerencia ha dicho otra cosa. y Los lineamientos de ISACA cómo satisfacer Los las atributos de CSAse incluyen: empleados continuo. debe incluir esto en el informe. Una prueba integrada se usa cuando no es práctico usar Las características del software generalizado de auditoría incluyen cómputos matemáticos. son secundarias a la opción A. usando software generalizado de auditoría. Un módulo integrado de auditoría implica integrar software escrito especialmente en el sistema anfitrión de aplicación de la organizaciónl de modo que los sistemas de aplicación sean monitoreados de manera selectiva. El auditor de SI. En esta situación. el auditor de SI debe obtener evidencias suficientes antes de incluirlo en el informe. no un enfoque de CSA. para mantener objetividad e independencia. determinar si hubo sobrepagos. el auditor. un auditor de SI tiene motivos para creer que la organización está usando software que no tiene licencia. análisis estadístico. El juicio se ocupa de un área gris donde las decisiones binarias El de autoevaluación de control (CSA) énfasis enpasada la administración y enjuega la obligación de rendir (sí método /no) no son apropiadas y donde la hace experiencia del auditor un papel clave cuentas de desarrollar monitorear los controles de los proveen procesosinformación de negocio sobre de una organización. La respuesta B es incorrecta porque la CSA requiere la controles (control self-assessment-CSA). todo lo experiencia cual son manifestaciones amplia y participación de los es el resultadodedelos competencia apropiada. Los cronogramas de auditoría pueden ser preparados con meses de anticipación usando diversos métodos de cronograma. Las opciones C y D son Elatributos de un método de primario auditoría. un auditor de SI debe usar su juicio profesional pretende Para determinar si cualquier procedimiento específico es apropiado. El vicepresidente de recursos humanos ha solicitado una auditoría para identificar los datos de prueba. El éxito de un programa de CSA depende del grado al que los gerentes de línea asumen responsabilidad de los controles. Si la organización está usando software que no tiene licencia. aseguramiento independiente y relativamente completo de cambios de del activo. El enfoque de línea base permite que más recursos En el proceso de evaluar los controles de cambio de programa. Las opciones A y D reflejan una falla de está instalada incorrectamente. El estándar de ISACA sobre "informes" requiere que el auditor de SI tenga evidencias de auditoría suficientes y apropiadas para soportar los resultados que se reportan. buscar los elementos que cumplan con los criterios de selección. elLas debilidades individualmente son de menor importancia. por ellas mismas. formularios "nuevo usuario" más recientes fueron correctamente autorizados. La opción C es incorrecta ya que un auditor de SI tendrá que obtener este aseguramiento separadamente. como por ejemplo los saldos de los estados financieros. cualesquiera sean los controles que pudieran existir son o bien inadecuados o adecuados. el auditor de SI debería verificar todos los elementos que cumplan con los criterios y no simplemente una muestra de los Uno de los factores clave a ser considerados mientras se evalúan los riesgos relacionados con el uso de Un auditor de SI está revisando la evaluación del riesgo de la gerencia. pero no compara un registro con otro para identificar duplicados. Las solicitudes de cambio de programa son los documentos usados para iniciar el cambio. Las declaraciones de la gerencia de SI proveen una base para obtener concurrencia sobre asuntos que no pueden ser verificados con evidencia empírica. pero no compara los registros para de los controles instalados. Advertir al están verificando debidamente. El informe debe basarse en evidencias recogidas durante el curso de la revisión aunque el auditor pueda tener acceso a los documentos de trabajo de otros auditores. Esto incluye pruebas para determinar si las nuevas cuentas fueron debidamente autorizadas. la etapa de mitigación del riesgo y no durante la etapa de evaluación del riesgo. tiempo. enfoque de la línea base aplica meramente un conjunto estándar de protección independientemente del la gerencia de seguridad de información es que éste asegura que: riesgo. se están usando contraseñas débiles y algunos reportes vitales no separte del auditor de SI para reconocer el efecto combinado de la debilidad de control. y por lo tanto. La opción D incorrecta porquedecualquier entre tiempo revisar en que se adquirió la copia control para y se El es Software genérico auditoríacambio (GAS)hecho permite al elauditor todo el archivo dede facturas ¿Cuál de las opciones siguientes debería utilizar un auditor de SI para detectar registros duplicados hace la comparación del código fuente no será detectado. No hay evidencia de que documentados. El enfoque de la evaluación del riesgo asegurará que se aplique un nivel de protección apropiado al nivel de riesgo y al valor Un auditor de SI tiene un objetivo. un auditor de SI usaría software de programa porque la comparación de códigos fuente identificará los cambios. Bajo estas circunstancias. la eficacia de los controles debe ser considerada durante identificar duplicados. Los listados de biblioteca Durante una revisión de implementación de una aplicación distribuida multiusuario. Hay una ventaja de costo en no sobreproteger la información. sin embargo. Se debe establecer un Cuando prepara un informe de auditoría. De manera similar. Se podría documentados o descripciones de puestos de trabajo. Una facilidad de prueba integrada (ITF) permite al auditor de SI Los riesgos relacionados con el uso de activos de información deben ser evaluados aisladamente revisar: probar las transacciones de prueba a través del sistema de producción. el auditor de SI debe expandir el alcance de las respuestas no respaldan las descripciones de los puestos de trabajo y los procedimientos hacer referencia a las opciones A. Sin embargo una ventaja aún mayor es asegurarse que ningún activo de información esta sobre ni protegido de manera insuficiente. toma en cuenta el valor del activo. Para detectar registros duplicados de facturas. Las bibliotecas producción representan ejecutables que están aprobados y en pruebas cambia? adecuados.I I I I I I I I I La prueba de cumplimiento determina si los controles se están aplicando de acuerdo con las Un auditor de SI está revisando el acceso a una aplicación para determinar si los 10 políticas. Este es un El muestreo de variables se usa para estimar los valores numéricos. La opción B es incorrecta porque comparación de código fuente para: sean dirigidos hacia los activos que están en mayor riesgo de dirigir los recursos a todos los activos. B y C durante una auditoría pero. juntas tienen el potencial de prueba no representan los ejecutables aprobados y autorizados. auditor de SI encuentra debilidades menores en tres áreas-La disposición inicial de parámetrosde debilitar sustancialmente la estructura general de control. Si las pruebas de cumplimiento indican que hay controles internos el sistema entonces automatizado. las pruebas sustantivasde se pueden minimizar. La prueba sustantiva sustancia la integridad del procesamiento real. Los listados de programa fuente serian intensivos en el prueba sea detenida lo antes posible y no es apropiada para verificar si se han seguido los procedimientos. el auditor de SI debería: gerente local sin reportar los hechos y observaciones ocultaría los hallazgos de los otras partes interesadas. los cambios hechos desde la adquisición de la copia no están incluidos en la copia del software. Mientras se prepara el informe de auditoría. El auditor de SI debe PRIMERO no identifican registros duplicados. Los resultados de una Si las respuestas dadas a las preguntas de un auditor de SI no están confirmadas por procedimientos Un auditor de SI que entrevista a un empleado de planilla encuentra que las autoevaluación de control organizacional (CSA) podrían complementar los hallazgos de auditoría. No hay ninguna garantía de que hayan sido elaboradas las solicitudes para todos los cambios. Poner mayor confianza en las auditorías anteriores o suspender la auditoría son acciones inapropiadas ya que no proveen Una evaluación completa del riesgo determina el nivel apropiado para un nivel dado de riesgo. no serían consideradas pruebas de los controles e incluir más pruebas sustantivas. mientras que el La PRINCIPAL ventaja del enfoque de evaluación del riesgo sobre el enfoque de línea base para conocimiento actual de la adecuación de los controles existentes. de los sistemas elementos. Los datos de prueba se utilizan para verificar el procesamiento de programas. pero diversos sistemas de información son las amenazas y las vulnerabilidades que afectan a los activos. el auditor de SI debe asegurarse que los resultados estén soportados por: . El muestreo de atributos ayuda a de facturas dentro de un archivo maestro de facturas? identificar los registros que cumplen con condiciones específicas. El desarrollo de pruebas sustantivas depende a menudo del La mejor fuente de la cual extraer cualquier ejemplo o prueba de un sistema de información es ¿Cuál de las siguientes sería la MEJOR población de la cual tomar una muestra cuando un programa resultado de las pruebas de cumplimiento. El muestreo stop-or-go permite que una autorizados para procesar los datos de la organización. tales como valores de ejemplo de: dólar. el auditor de SI debe: una base suficiente para emitir un informe. de información. sería necesario revisar el proceso de gestión de cambios para evaluar la existencia de modificaciones no autorizadas a los programas de producción? un rastro de evidencia documental. Entender si están una evaluación del riesgo para asegurar que: establecidos los controles apropiados requeridos para mitigar los riesgos es un efecto resultante de una auditoría. un auditor de SI debe llevar a cabo una razón valida. entonces los procesos de monitoreo y la capacidad para diagnosticar problemas no será efectiva.I En el curso de la realización de un análisis de riesgo. estado esperado o deseable. Si esta información no estuviera actualizada. un auditor de SI debe: Es importante que un auditor de SI identifique y evalúe los controles y la seguridad existentes una vez que las amenazas potenciales y los impactos posibles están identificados. Al concluirse una auditoría. adquisición. e implementación del sistema de aplicación. Las opciones B y aplicación posterior a la implementación. eficiencia y eficacia. Es poco probable que el análisis del log de sistema provea información sobre la modificación de programas. es un ejemplo de un uso de software forense. ya que esto implica a menudo un procesamiento adicional que puede en realidad reducir el tiempo de respuesta para los usuarios. real con un Una prueba sustantiva para verificar que los registros de inventario de biblioteca de cinta son correctos es: los datos y otra información. sean entendidos. un auditor de SI debe describir y discutir con la gerencia las amenazas y los impactos potenciales sobre los activos. la capacidad de investigar las violaciones de los derechos de propiedad intelectual. son preocupaciones legítimas y diferencian a los paquetes buenos de los paquetes deficientes de software forense. Llevar a cabo un conteo físico del inventario de cintas es una prueba sustantiva. Una revisión analítica evalúa el ambiente general de control de una control relevantes para el alcance de la auditoría. El análisis forense es una técnica El alcance de una auditoría de SI está definido por sus objetivos. no es la razón primaria. rastreando transacciones a través del sistema. Habilitar pistas de auditoría si implica almacenamiento y de eso modo ocupa espacio de disco. I ¿Cuál de las siguientes es la ventaja PRINCIPAL de usar software forense de computación para las investigaciones? I I I I I I El objetivo primario del software forense es preservar la evidencia electrónica para satisfacer las reglas de evidencia. Se puede comprometer la independencia si el auditor de sistemas está o ha estado involucrado Se asigna a un auditor de sistemas para que realice una revisión de un sistema de activamente en el desarrollo. es crítico que los riesgos y las vulnerabilidades Cuando desarrolla una estrategia de auditoría basada en el riesgo. Esto implica identificar las debilidades de La razón MÁS importante para que un auditor de SI obtenga evidencias suficientes y apropiadas de especializada para investigación criminal. Inmediatamente después. La opción D es también Al desarrollar una estrategia de auditoría basada en el riesgo. ¿Cuál de las siguientes situaciones puede haber C son situaciones que no comprometen la independencia del auditor de sistemas. un auditor de SI debe PRIMERO revisar: El primer paso para evaluar los controles de monitoreo de red debe ser la revisión de la adecuación de la documentación de red. están directamente relacionados con el proceso de auditoría y no son relevantes para el análisis del riesgo del entorno a Una sustantiva incluyederecolectar para evaluar la integridad de las transacciones ser prueba auditado. La opción B. un auditor de SI ha identificado amenazas e impactos potenciales. opción C. Las opciones A. Un análisis brechasevidencia normalmente se haría para comparar el estadoindividuales. asegurar la cobertura y la ejecución de la auditoría son todos relevantes para una auditoría pero no son la razón por la que se requiera evidencia suficiente y relevante. Cumplir con los requisitos regulatorios. a identificar las debilidades de control pero también a documentarlas y validarlas. I Cuando se evalúa el diseño de los controles de monitoreo de red. Los riesgos de auditoría son aspectos inherentes de la auditoría. El objetivo de habilitar software para proveer pistas de auditoría no es mejorar la eficiencia del sistema. La opción D. B y D son pruebas de cumplimiento. Para determinar que sólo se han realizado modificaciones autorizadas a los programas de ¿Cuál de las opciones siguientes utilizaría un auditor de SI para determinar si se realizaron producción. . Obtener evidencias suficientes y apropiadas ayuda al auditor auditoría es: organización. Habilitar pistas de auditoría ayuda a establecer la obligación de rendir cuentas y la responsabilidad de las El propósito PRIMARIO de las pistas de auditoría es: transacciones procesadas. Las pruebas de cumplimiento ayudarían a verificar que el proceso de gestión de cambios ha sido aplicado consistentemente. y la eficiencia y la eficacia. sin embargo. específicamente los diagramas de topología. Esto determinará las áreas a ser auditadas y el grado de cobertura. los ahorros en tiempo y en costos. La opción D es comprometido la independencia del auditor de sistemas? El auditor de SI: incorrecta porque la independencia del auditor de sistemas no compromete suministrando asesoría sobre las mejores prácticas conocidas. el PRIMER paso sería: I El propósito PRIMARIO para reunirse con los auditados antes de cerrar formalmente una revisión es: El propósito PRIMARIO para reunirse con los auditados antes de cerrar formalmente una revisión es llegar a un acuerdo sobre los hallazgos.Monitorear el tiempo (la opción A) y auditar los programas (opción D). revisar la autorización para cambiar parámetros y revisar los reportes históricos de contraseña son todas pruebas de Una facilidad de prueba integrada se considera una herramienta útil de auditoría porque usa los mismos Una prueba integrada (integrated test facility-ITF) se considera una herramienta útil de auditoría cumplimiento. pero lo que entrega valor a la organización son los recursos y esfuerzos que se dedican a. pero esto no provee evidencia del correo Electrónico. de encontrar evidencia relevante. Cuando se realiza una investigación forense de computadora. Un acciones debería emprender el auditor de SI? auditor de SI no debe asumir la función del oficial de cumplimiento ni asumir participación personal alguna para retirar o eliminar el software no autorizado. pero la creación de la política no provee información requerida para fines de litigación. la evaluación y la divulgación son importantes pero no son la preocupación primaria en una investigación . Verificar la autorización de los reportes de excepción. alcanceLa de opción la auditoría no debeúnicamente estar limitadolapor la capacidaddedelque auditado amenaza explote una vulnerabilidad en el activo pero no provee la magnitud del posible daño al activo. El análisis. podrían ser recuperados de estos archivos. Las normas de clasificación de datos pueden haber sido fijadas respecto a lo que debería comunicarse por correo electrónico. que supuestamente han sido borrados. No preservar debidamente la evidencia podría poner en peligro la aceptación de la evidencia en el proceso legal. Una prueba de cumplimiento determina si se están aplicando los controles de una forma consistente con las políticas y procedimientos de la gerencia. ¿Cuál de las siguientes es la razón MÁS probable de por qué los sistemas de correo Los archivos de respaldo contienen documentos. con respecto a la evidencia recolectada. son de importancia secundaria. Los controles de acceso pueden ayudar a establecer responsabilidad de dar electrónico se han convertido en una fuente útil de evidencia en litigios? cuenta de la emisión de un documento en particular. que una auditoría que tuviera un propósito y un alcance más amplios. Recolectar toda es un elemento El riesgo general del negocio para una amenaza en particular se puede expresar como: mejor medida riesgo de para B provee probabilidad una requerido de undel auditoría SI un y el activo. De manera similar. I I I I I I I El grado hasta donde los datos serán recolectados durante una auditoría de SI debe relacionarse El grado hasta donde los datos serán recolectados durante una auditoría de SI debería ser determinado directamente con el alcance y el propósito de la auditoría. tiene como consecuencia la exposición inherente y puede resultar en severas multas. El alcance de una auditoría de SI no debería ser restringido por la facilidad de obtener la información o por la familiaridad del La opción toma la probabilidad como lalaevidencia magnitud requerida del impacto y provee la auditor conA el áreaen queconsideración está siendo tanto auditada. y que están enfocados sobre. las áreas de mayor riesgo. a pesar de estar relacionadas con el cierre formal de una auditoría. la MAYOR preocupación de un auditor de SI debe ser: La preservación y documentación de evidencia para revisión por el organismo de cumplimiento y las autoridades judiciales son la preocupación primaria cuando se lleva a cabo una investigación. Las otras opciones. I Para asegurar que los recursos de auditoría entreguen el mejor valor a la organización. El auditor de SI debe descubre que numerosas PCs contienen software no autorizado. la opción C considera solamente la magnitud del daño y no la posibilidad de que una amenaza explote una vulnerabilidad. Una prueba sustantiva confirma la integridad del procesamiento real. Esto implica porque: establecer entidades ficticias en un sistema de aplicación y procesar datos de prueba o de producción contra la entidad como un medio de verificar el procesamiento adecuado. así como también un entrenamiento adecuado (opción B) mejorarán la productividad del personal de auditoría de SI (eficiencia y desempeño). La opción D define el riesgo sobre una base arbitraria y no es El uso de software no autorizado o ilegal debe estar prohibido en una organización. Una auditoría que tenga un propósito y un basado en: alcance estrechos lo más probable es que tendría como consecuencia menos recolección de datos. ¿Cuál de las siguientes convencer al usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el riesgo. programas para comparar el procesamiento usando datos calculados de manera independiente. La piratería de software Un auditor de SI que lleva a cabo una revisión del uso y licenciamiento de software adecuado para un proceso científico de administración del riesgo. Una prueba sustantiva ¿Cuál de las siguientes es una prueba sustantiva? determinaría si los registros de la biblioteca de cintas están establecidos correctamente. no el control de acceso a la documentación de programas. Reportar al público no es un . seguridades de acceso alos archivos datos nopor resuelve la el método más proactivo sería identificar y evaluar las prácticas existentes de seguridad que la procedimientos de seguridad documentados. para determinar si las dos corresponden. un auditor de SI descubrió numerosas duplicaciones de nombre de cliente que surgían de variaciones en los primeros nombres del cliente. pero no proveen evidencias sobre porciones no ejercitadas de un programa. la eficiencia y la eficacia identificando así las deficiencias o la redundancia en los controles. documentación y la evaluación es el segundo paso para determinar la adecuación. es el Un Auditor de sistemas que trate de determinar si el acceso a la documentación de programas tercer paso es probar las vías de acceso-para determinar si los controles útil para determinar si el acceso a la documentación de programas está restringido a las personas auditor de SI evalúa el entorno de seguridad para determinar si es adecuado revisando las políticas escritas. revisión deaveriguaciones. es decir. la identificación de los riesgos potenciales. la autorización del usuario a tener acceso a recursos particulares y la red y las computadoras anfitrionas (hosts) a ser usadas sin acciones o comandos especiales de usuario. Una revisión de códigos puede usarse como Un auditor de SI que evalúa los controles de acceso lógico debe PRIMERO: de seguridad que enfrenta el procesamiento un de comparación pero es ineficiente. cual sería un error profesional. Probar los registros de utilización no resolverá la seguridad de acceso a de los principales objetivos Probar de una laauditoría identificar riesgos de potenciales. y los totales mensuales no resolverían la exactitud de cálculos individuales de impuestos.Lamediante y llevando a cabo códigos no detectaría una evaluación del cambios riesgo. Como no hay No reportar una intrusión es equivalente a un auditor de SI que esconde una intrusión maliciosa. La opción B es incorrecta ya que los controles correctivos de un proceso. C y D son ejemplos de funciones de sistemas operativos de red. A pesar de que puede requerirse la notificación a la policía y que la falta de un examen periódico de derechos de acceso podría ser una preocupación. lo tanto. un auditor de SI debería estar consciente: pueden ser también relevantes. La revisión de códigos es el proceso de leer listados de código fuente de programa para determinar si el código Cuando evalúa los controles de acceso lógico. organización está siguiendo. sino simplemente para determinar como fueron procesados los datos. de prueba no serían para detectar la extensión en de línea cualquier documentación de red. El Preguntar a los programadores sobre los procedimientos que se están funcionando. la creación de diagramas de flujo y el análisis de código fuente no son métodos efectivos. Las opciones B. un método para detectar duplicaciones seria comparar otros campos comunes. Buscar los números de cuenta duplicados probablemente no hallaría duplicaciones de nombres ya que lo más probable es que los clientes tengan números de cuenta diferentes de usuarioLosdedatos sistema operativo de redútiles incluyen la disponibilidad de Un auditor de SI está efectuando una auditoría de un sistema operativo de red. Es una técnica eficiente porque es un procedimiento automático. siguiendo actualmente Finalmente. Otras funciones serían el acceso del usuario a diversos recursos de de las siguientes es una función de usuario que el auditor de SI debe revisar? característica de dato. La opción D es incorrecta e irrelevante ya que la existencia y función de los controles es Una comparación automática de códigos es el proceso de comparar dos versiones del ejemplo de programa ¿Cuál de las siguientes técnicas de auditoría ayudaría MÁS a un auditor a determinar si ha habido importante. Durante una auditoría de seguridad de procesos de TI. La opción C es incorrecta ya que los controles correctivos eliminan o reducen los efectos de los errores o irregularidades y son considerados exclusivamente como controles compensatorios. un auditor de SI encontró que no había Uno la documentación de programas. El auditor de SI debe: seguridad de la documentación de programas. no hay base contra la cual probar el cumplimiento. el auditor de SI usaría: Cuando se evalúa el efecto colectivo de los controles preventivos de detección o correctivos dentro Un auditor de SI debería concentrarse en cuando los controles son ejercidos como flujos de datos a través del sistema de computadora. lo ¿Cuál de las siguientes debe ser la MAYOR preocupación para un auditor de SI? procedimientos documentados. Preparar transacciones simuladas para procesar y comparar los resultados con resultados predeterminados es El MEJOR método de probar la exactitud de un sistema de cálculo de impuestos es: el MEJOR método para probar la corrección de un cálculo de impuestos. cambios no autorizados de programa desde la última actualización autorizada de programa? Las corridas de prueba de datos permiten al auditor verificar el procesamiento de transacciones preseleccionadas. como por ejemplo las direcciones Y podría entonces seguidamente llevarse a cabo una revisión para determinar los nombres de los clientes en estas direcciones. Durante una revisión de un archivo maestro de clientes. un auditor de SI debe primero obtener un entendimiento del riesgo contiene errores potenciales o declaraciones ineficientes. instalaciones pone a prueba los procedimientos de recuperación. anfitriones (hosts) de red.I I I I I I I I I Como el nombre no es el mismo (debido a variaciones de los primeros nombres). Dar por terminada la auditoría puede impedir que se logren los objetivos de la auditoría. Para determinar la extensión de la duplicación. y si lo hiciera. ¿Cuál Las para funciones cada combinación. La revisión visual detallada. deLaprograma. está restringido a las personas autorizadas. ellos no representan una preocupación tan grande como la de dejar de reportar un ataque. su independencia estaría en peligro. no la clasificación. Evaluar planes de con retención de prácticas registrosapropiadas para almacenamiento fuera de las MÁS probable es que: observando las prácticaslos y comparándolas las mejores de seguridad. los procedimientos de migración de de medio información revisandodelacódigos documentación relevante. Un auditor de SI no debe preparar documentación. lo autorizadas. y la eficiencia y la eficacia. para procesar los datos de la organización. La prueba realizada por un auditor no puede ser confiable si el auditor no tenia un buen entendimiento del área técnica bajo revisión. Las cartas de confirmación recibidas desde el exterior. ITF puede usarse para incorporar transacciones de prueba en una corrida normal de producción. ¿Cuál de las siguientes formas de evidencia para el auditor se consideraría la MÁS confiable? desde dentro de la organización. No hay . pero la creación de la política no provee información requerida para fines de litigación. La capacidad de investigar las violaciones de los derechos de propiedad intelectual. recuperados de estos archivos. Verificar la autorización de los reportes de excepción. si al auditor de SI le preocupa si los controles de biblioteca de programas las mismas? están funcionando correctamente. ¿Cuál de las siguientes debe ser la MAYOR preocupación para un auditor de SI? ¿Cuál de las siguientes opciones sería normalmente la evidencia MÁS confiable para un auditor? La evidencia obtenida de terceros independientes casi siempre es considerada la más confiable. Una prueba de cumplimiento determina si se están aplicando los controles de una forma consistente con las políticas y procedimientos de la gerencia. revisar la autorización para cambiar parámetros y revisar los reportes históricos de contraseña son todas La evidencia obtenida de fuentes externas es por lo general más confiable que la obtenida pruebas de cumplimiento. Una prueba sustantiva confirma la integridad del procesamiento real. CIS es útil cuando las se requiere una pista de auditoría? transacciones que reúnen ciertos criterios necesitan ser examinadas. C y D no serian consideradas confiables. Los ahorros en tiempo y en costos. opción investigaciones? C. En otras palabras. ¿Cuál de las siguientes es la ventaja PRINCIPAL de usar software forense de computación para las El objetivo primario del software forense es preservar la evidencia electrónica para satisfacer las reglas de evidencia. opción B. Una prueba de cumplimiento determina si los controles están operando como se diseñaron y si ¿Cuál de las siguientes pruebas es realizada por un auditor de SI cuando es seleccionada están siendo aplicados en tal forma que cumplan con las políticas y procedimientos de gerencia. Los controles de acceso pueden ayudar a establecer responsabilidad de dar electrónico se han convertido en una fuente útil de evidencia en litigios? cuenta de la emisión de un documento en particular. que supuestamente han sido borrados. Los listados de programa fuente serian intensivos en el tiempo. ¿Cuál de las siguientes herramientas de auditoría es la MÁS importante para un auditor de SI cuando Una herramienta de instantánea (snapshot) es más útil cuando se requiere una pista de auditoría. Reportar al público no es un requisito y depende del deseo de la organización o de la falta del mismo de hacer saber sobre la archivos de respaldo contienen documentos. opción D. pero esto no provee evidencia del correo Electrónico. lo cual sería un error profesional. Las planea bibliotecas de está producción ejecutables que están aprobados y en pruebas cambia? particular el que el auditor basarse operandorepresentan como el auditor lo percibió en la evaluación autorizados preliminar. ellos no representan una preocupación tan grande como la de dejar de reportar un ataque. Las normas de clasificación de datos pueden haber sido fijadas respecto a lo que debería comunicarse por correo electrónico. A pesar de que puede requerirse la notificación a la policía y que la falta de un examen periódico de derechos de acceso podría ser una preocupación. son preocupaciones legítimas y diferencian a los paquetes buenos de los paquetes deficientes de software forense. el auditor de SI podría seleccionar una muestra de programas para determinar si las versiones fuente y las versiones objeto son las mismas. Las respuestas B. son por lo general altamente confiables. es un ejemplo de un uso de software forense. Las solicitudes de cambio de programa son los documentos usados para iniciar el cambio. el principal objetivo La mejor fuente de la cual extraer cualquier ejemplo o prueba de un sistema de información es ¿Cuál de las siguientes sería la MEJOR población de la cual tomar una muestra cuando un programa de cualquier prueba de cumplimiento es proveer a los auditores una garantía razonable de que un control en el sistemaenautomatizado. Los ganchos de auditoría son útiles cuando sólo se necesita examinar transacciones o procesos escogidos. una muestra de programas para determinar si las versiones fuentes y las versiones objeto son Por ejemplo. podrían ser ¿Cuál de las siguientes es la razón MÁS probable de por qué los sistemas de correo Los intrusión. como por ejemplo las usadas para verificar los balances de cuentas por cobrar. Una prueba sustantiva ¿Cuál de las siguientes es una prueba sustantiva? determinaría si los registros de la biblioteca de cintas están establecidos correctamente.I I I I I I I I I No reportar una intrusión es equivalente a un auditor de SI que esconde una intrusión maliciosa. pueden haberse efectuado para depurar o para funcionalidades adicionales. el cumplimiento. no el reemplazo de las responsabilidades de auditoría. Un modulo integrado de auditoría implica integrar software escrito especialmente en el sistema anfitrión de aplicación de la organización para que los sistemas de aplicación sean monitoreados de manera selectiva. La opción C no es parte de una revisión de seguridad. El muestreo de atributos es un modelo de muestreo que se usa para estimar la tasa de ocurrencia de una calidad especifica (atributo) en una población y se usa en la comprobación de cumplimiento para confirmar si esta calidad existe o no. Su ventaja es que las pruebas periódicas no requieren procesos separados de prueba. Una facilidad integrada de prueba se usa cuando no es práctico usar datos El muestreo de instantáneas atributos es oelsnapshots método primario de muestreo que se para de prueba. hay un riesgo de que la debilidad de control relevante pueda seguir sin ser detectada. tales como los totales de control. como el método de datos de prueba involucra la prueba de datos para el El método basado en el riesgo está diseñado para asegurar que el tiempo de auditoría sea ¿Cuál de los siguientes es un beneficio de un método de planeación de auditoría basado en el riesgo? período de auditoría. La respuesta A describe mejor una prueba integrada (integrated test facility-ITF). que es un proceso de auditoría especializado asistido por computadora que permite que auditor de SI pruebe una aplicación de manera continua. es necesaria una planeación cuidadosa y los datos de prueba deben ser aislados de los datos de producción. I ¿Cuál de los siguientes pasos realizaría PRIMERO un auditor de SI normalmente en una revisión de seguridad del centro de datos? Durante la planeación. por el período cubierto por la auditoría. los cambios en el programa probado pueden tener un impacto mínimo. control. Las otras elecciones se usan en comprobaciones substantivas que involucran la comprobación de detalles o cantidad. Esto ayuda al auditor de SI a actuar ante un error o una irregularidad se sale de control. La eficacia de los datos de prueba está determinada por la extensión de la cobertura de todos los controles clave a ser probados. El desarrollo un cronograma de auditoría adicionales. y las se usan cuando se requiere unausa pista de comprobar auditoría. no es necesario procesamiento bajode la anticipación diversos de cronograma. I ¿Cuál de los siguientes es una ventaja de una prueba integrada (ITF)? Una prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prueba simultáneamente con la entrada en vivo. Las opciones C y D son herramientas de CSA y no objetivos. ni quiere decir (outputs). Las pruebas de integridad relacional se realizan a nivel del registro y por lo general implican calcular y verificar diversos campos computados . Sin embargo. los elementos de datos están todos en los dominios correctos. Sin embargo. sin embargo. Las empleado áreas de mayor riesgo. Los objetivos de los programas de CSA incluyen el aumento de las responsabilidades de auditoría. Las verificaciones de . Si los datos de prueba no cubren todas las condiciones válidas y no válidas. Las opciones A y D son parte del proceso de trabajo de campo de la auditoría que ocurre posterior a esta planeación y preparación.e. no está dirigido aplicacionesenconlasla tecnología actual por lo general no son de afectadas por las transacciones Los por basado en el riesgo.I ¿Cuál de las siguientes técnicas en línea es más efectiva para la detección temprana de errores o irregularidades? I ¿Cuál de los métodos de muestreo es el MÁS útil cuando se pone a prueba su cumplimiento? I ¿Cuál de los siguientes describe MEJOR una prueba integrada (integrated test facility-ITF)? I ¿Cuál de los siguientes es el MAYOR desafío al utilizar datos de prueba? I I La técnica del gancho de auditoría implica integrar código en los sistemas de aplicación para el examen de transacciones seleccionadas. Un método de riesgo directa con supervisión usando de un auditor. I La prueba de integridad de dominio está dirigida a verificar que los datos se ajusten a las ¿Cuál de los siguientes podría ser usado por un auditor de SI para validar la efectividad de las rutinas definiciones. las respuestas C y D son ejemplos de instantáneas. El objetivo principal de edición y de validación? de este ejercicio es verificar que las rutinas de edición y de validación están funcionando de manera satisfactoria. seguimiento y concentración de todos en las áreas de alto riesgo. yamétodos que los datos de entrada serán verificados por no lostiene datosuna de correlación salida que el personal de auditoría cumpla con los cronogramas en una auditoría en particular. cronogramas de auditoría pueden que ser el preparados con sea meses datosundemétodo prueba son desarrollados por Los el auditor. i. Los cambios en el programa. el auditor de SI debería obtener una visión general de las funciones que están siendo auditadas y evaluar los riesgos de auditoría y de negocios. Los objetivos de losuna programas incluyen la educación para laa cabo gerencia deaño línea en responsabilidad del ¿Cuál de los siguientes es un objetivo de un programa de auto evaluación de control (CSA)? necesariamente que variedad CSA más amplia de auditorías se llevará en un dado.. La respuesta B es un ejemplo de un archivo de revisión de control de sistemas. ¿Cuál debe ser el siguiente paso del auditor de SI? I I I I I Un riesgo de detección está directamente afectado por la selección. luego esperar la respuesta de ésta. sino utilizaríadelas proveería información recolectadas en una fase completa anterior sobre del proceso las funciones de auditoría. Esto permitirá al auditor de SI examinar la funcionalidad y la efectividad del sistema de respuesta. Lo primero que un auditor de SI debe hacer después de detectar el virus es alertar sobre su presencia a la organización. Los pasos de prueba para la auditoría no son tan críticos como identificar las áreas de riesgo. de los procedimientos y técnicas de auditoría. pero no es la persona que tomará las decisiones respecto a los Para desarrollar una estrategia de auditoría basada en el riesgo. está actualizada. de que los sistemas SI. entonces los procesos de monitoreo y la capacidad para diagnosticar los problemas no serán efectivos.yLa prueba de delosevidencias. es crítico que se entiendan los Cuando se está desarrollando una estrategia de auditoría basada en el riesgo. y asegurar la eliminación del virus es una responsabilidad de la gerencia. Los riesgos de auditoría son aspectos inherentes de la auditoría. ello se hace únicamente para obtener acuerdo sobre los hallazgos y para desarrollar un curso de acción correctiva. La opción D es incorrecta porque la responsabilidad de reportar a las riesgos y vulnerabilidades. Cuando se diseña un plan de auditoría. la discusión con la gerencia proveería solo información limitada respecto a la segregación Un organigrama proveería detalles de que las funciones de los empleados la A través de todas de lasfunciones. un auditor de SI detecta la presencia de un virus. Incluso si el auditor de SI debe discutir los hallazgos con el personal de gerencia de la instancia ellos son los responsables ante: entidad auditada (opción B). Observando el personal de SI cuando realiza sus tareas. el Auditor de SI debe concentrarse en: I Al llevar a cabo una auditoría. el auditor de SI puede identificar si ellos están realizando operaciones no compatibles y entrevistando el personal de SI el auditor puede obtener un panorama general de las tareas realizadas. El auditor de SI no debe hacer cambios al sistema que está siendo auditado. elno auditor debe asegurarse haya documentación adecuada. Cuando se evalúa el efecto colectivo de los controles preventivos de detección o correctivos dentro Un auditor de SI debería concentrarse en cuando los controles son ejercidos como flujos de datos a través del sistema de computadora. fases de la auditoría de SI. Basado en las observaciones y entrevistas. .I ¿Las decisiones y las acciones de un auditor es MÁS probable que afecten a cuál de los riesgos siguientes? I ¿Qué técnica de auditoría provee la MEJOR evidencia de la segregación de funciones en un departamento de SI? I A través de todas las fases de un trabajo de auditoría. por lo tanto. y el tiempo asignado para una auditoría está determinado por las áreas a ser auditadas. que ellos desempeñan. para evaluar los controles de por monitoreo de lase red debepara ser comparar la revisión de la entorno a ser El análisis de brecha lo general haría el estado Cuando se evalúa el diseño de los controles de monitoreo de red. Los riesgos inherentes por lo general no están afectados por el auditor de SI. La gerencia no puede estar en conocimiento de las funciones detalladas de cada empleado en el departamento de SI. La opción C es incorrecta porque el director de auditoría de SI debe revisar el reporte que el auditor de SI preparó. por parte del auditor. la fase de reporte no requiere la recolección de evidencias. derechos elde usuarioy las proveería sobre los enderechos tienen dentro recolección muestreo pruebasinformación sustantivas no ocurren todas lasque fasesellos de una auditoría. Esto determinará las áreas a ser auditadas y la extensión de la cobertura. específicamente los diagramas de topología. un auditor de SI debería estar consciente: pueden ser también relevantes. Los conjuntos de habilidades del personal de auditoría deberían haberse considerado antes de decidir y de escoger la auditoría. el auditor puede evaluar la segregación de funciones. un auditor de hallazgos y sus consecuencias potenciales. el paso MÁS crítico es la identificación de: determinar las áreas a ser auditadas.evidencias pero no por ejemplo. Las cuales son primariamente seleccionadas con base en la El auditor de SI es en última instancia responsable ante la alta gerencia y ante el comité de auditoría de identificación de los riesgos. Cuando comunican los resultados de auditoría. La opción A se debe emprender después de la opción C. La opción B es incorrecta ya que los controles correctivos de un proceso. La opción C es incorrecta ya que los controles correctivos eliminan o reducen los efectos de los errores o irregularidades y son considerados exclusivamente como controles compensatorios. Si esta información no revisar: real de un de estado esperado o deseable. los auditores de SI deben recordar que en última la junta directiva. si los controles apropiados requeridos para mitigar los riesgos están instalados es un efecto resultante de una auditoría. están directamente relacionados con el proceso de auditoría y no son relevantes para el análisis de riesgo del El primer paso auditado. es importante identificar las áreas de más alto riesgo para Al planear una auditoría. Entender SI debe llevar a cabo una evaluación del riesgo para asegurar que: autoridades judiciales descansaría en la junta directiva y sus asesores legales. un auditor de SI debe PRIMERO adecuación documentación de red. Los riesgos financieros no están afectados por el auditor de SI. Un riesgo de control es controlado por las acciones de la gerencia de la compañía. Un auditor de SI no debe preparar documentación.para Cy losson aspectos financieros depara la auditoría. Los gerentes del departamento de negocios y altos ejecutivos están en las mejores posiciones para ofrecer una opinión respecto a estas áreas. Como el nombre no es el mismo ( debido a variaciones de los primeros nombres ). el Auditor de SI debe usar su juicio profesional apropiado para las circunstancias específicas. la identificación de los riesgos potenciales. El auditor de SI debe: está siguiendo. Cuando se implementan sistemas de monitoreo continuo el PRIMER paso de un auditor de SI es identificar: Los procedimientos son procesos posibles que un auditor de SI puede seguir en un trabajo de auditoría. juntas tienen el potencial documentados. Mientras se prepara el informe de auditoría. Para determinar si algún procedimiento específico es apropiado. el auditor de SI usaría: I El departamento de SI de una organización quiere asegurarse de que los archivos de computadora usados en la instalación de procesamiento de información. por lo tanto. sin embargo. un método para detectar duplicaciones seria comparar otros campos comunes. Para determinar la extensión de la duplicación. es decir. Juicio profesional implica una evaluación subjetiva y a menudo cualitativa de las condiciones que surgen en el curso de una auditoría. la meta PRIMARIA del auditor es: estándares cuando lleva a de caboauditoría. debido a los amplios conocimientos que tiene esta persona sobre los requerimientos relacionados con la organización. Las opciones A y D reflejan una falla de está instalada incorrectamente. Las profesional actividades descritas las opciones B. Dar por terminada la auditoría puede impedir que se logren los objetivos de la auditoría. una auditoría. como por ejemplo las direcciones Y podría entonces seguidamente llevarse a cabo una revisión para determinar los nombres de los clientes en estas direcciones. el Auditor de SI debe usar su juicio profesional para asegurar que: I Durante una revisión de los controles sobre el proceso de definir los niveles de servicios de TI. desarrollan para proveer una garantía razonable de que se lograran los objetivos específicos.La un auditor de SI debe preocuparse MÁS es una preocupación cuando se llevay el a formato cabo unadeinvestigación. un auditor de SI encontró que no había Uno de los principales objetivos de una auditoría es identificar los riesgos potenciales. un auditor de SI entrevistaría MÁS probablemente al: I Durante una revisión de un archivo maestro de clientes. Durante una auditoría de seguridad de procesos de TI. D todas emprendidas resolver objetivos de auditoría y son por ello secundarias frente a la opción A.I I I I I I El primer paso y el más crítico en el proceso es identificar las áreas de alto riesgo dentro de la organización. auditor de SI encuentra debilidades menores en tres áreas-La disposición inicial de parámetrosde debilitar sustancialmente la estructura general de control. poner en peligro la aceptación de las evidencias en los procesos legales. El juicio se ocupa de un área gris donde las decisiones binarias (sí/no) no son apropiadas y la experiencia pasada del auditor tiene una función clavenormas para emitir un juicio. La identificación de las no debilidades para alcanzar los se objetivos La de opción B es de incorrecta porque el auditor recoge importantes en es la el etapa resultado de la competencia. En este punto las pruebas y y la documentación evidencias a ser revisadas por las policiales Durante y judiciales los preservación umbrales razonables objetivo dedeberían determinarse antes de autoridades la programación. elLas debilidadesnoindividualmente menor importancia. un auditor de SI descubrió numerosas duplicaciones de nombre de cliente que surgían de variaciones en los primeros nombres del cliente. la minuciosidad para planear y evidencias de planeación de una laauditoría. preservar evidencias desarrollo de sistemas. el método más proactivo sería identificar y evaluar las prácticas existentes de seguridad que la organización procedimientos de seguridad documentados. Un control correctivo es una categoría de controles. y si lo hiciera. Cuando se seleccionan procedimientos de auditoría. el Cuando se realiza una investigación forense de computadora. evaluación y la revelación son importantes pero no son de importancia primaria en una investigación forense. la los programas podría de monitoreo. Como no hay procedimientos Durante una revisión de implementación de una aplicación distribuida multiusuario. el auditor de SI debería: gerente local sin reportar los hechos y observaciones ocultaría los hallazgos de los otras partes interesadas. su independencia estaría en peligro. respecto a las evidencias recolectadas. Advertir al están verificando debidamente. un trabajo auditoría SI. Buscar los números de cuenta duplicados probablemente no hallaría duplicaciones de nombres ya que lo mas probable es que los clientes tengan números de cuenta diferentes Los de control de especifican el conjunto mínimo controles para asegurar ladeeficiencia y para objetivos cada combinación. Los los procedimientos de control se característicaendelas dato. sino simplemente para determinar procesados datos.de Los lineamientos ISACA proveen de información cómo satisfacer los Las de auditoría ISACA requierende que un auditor SI planeesobre el trabajo de auditoría Durante la etapa de planeación de una auditoría de SI. experiencia. Lasy opciones C y D apropiada son incorrectas porque ejecutar auditoría y noprimarias el resultado de un juicio Juicio no es un en insumo primario ellas no lason las metas de planeación deprofesional. Una vez que las áreas potenciales de implementación hayan sido identificadas. LosSIdatos de prueba no serian útilesdepara detectar la extensión cualquier efectividad operaciones y funciones dentro decomo una fueron organización. se están usando contraseñas débiles y algunos reportes vitales no separte del auditor de SI para reconocer el efecto combinado de la debilidad de control. estén respaldados adecuadamente para permitir la recuperación apropiada. que está dirigida a minimizar la amenaza y/o a remediar los . se debería realizar una evaluación del impacto potencial para identificar las aplicaciones que proveen el mayor payback potencial a la organización. Este es un: Entender los requerimientos del negocio es clave para definir los niveles de servicio. hay base contra lason cual de probar el cumplimiento. Mientras que cada una de las otras entidades enumeradas puede suministrar alguna definición la mejor elección aquí es el gerente de unidad de negocio.primaria se debe definir la ubicación los archivos deNo salida (output) las generados por de: debidamente. El análisis. la opción C considera solamente la magnitud del daño y no la posibilidad de que una de amenaza explote vulnerabilidad. es un ejemplo de: El objetivo PRIMARIO de una función de auditoría de SI es: I El riesgo general del negocio para una amenaza en particular se puede expresar como: I El uso de procedimientos estadísticos de muestreo ayuda a minimizar el riesgo: La opción A toma en consideración tanto la probabilidad como la magnitud del impacto y provee la mejor medida del riesgo para un activo. sin embargo. Debería establecer los objetivos de la gerencia y la delegación de autoridad al departamento de auditoría. prueba y concluya que los errores materiales no existen. Este se cambia muy pocas veces y no contiene el plan de auditoría o el proceso de auditoría que es por lo general parte del plan anual de auditoría. y los totales mensuales encontrar evidencia relevante. El objetivo de habilitar software para proveer pistas de auditoría no es mejorar la eficiencia del sistema. no de un método de CSA. El alcance de una auditoría de SI no debería ser restringidos por la facilidad de obtener la información o por la familiaridad del Preparar transacciones simuladas para procesar resultados con resultados predeterminados es el auditor con el área que esta siendo auditada. Habilitar pistas de auditoría ayuda establecer la obligación de rendir cuentas y la responsabilidad de las El propósito PRIMARIO de las pistas de auditoría es: transacciones procesadas. El riesgo de muestreo es el riesgo de que . un auditor de SI puede cuantificar con qué aproximación debe la muestra representar a la población y debe cuantificar la probabilidad de error. El riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya Este es un ejemplo de riesgo de detección. El éxito de un programa de autoevaluación de control (CSA) depende del grado en el que los gerentes de línea asumen la responsabilidad de los controles.I I I I I I I El objetivo primario de un programa de CSA es repaldar la función de auditoría interna pasando algunas de las responsabilidades de monitoreo de control a los gerentes de línea del área funcional. El propósito PRIMARIO de un contrato de auditoría es: auditoría interna. el riesgo una base arbitraria y no de es El riesgo detección esuna el riesgo de que La el opción auditor Ddedefine SI use un sobre procedimiento inadecuado adecuado para un proceso científico de administración del riesgo. De manera similar. rastreando transacciones a través del sistema. auditado de creación de diagramas de flujo y el análisis de código fuente no son métodos efectivos.y comparar Recolectarlos toda la evidencia requerida es un elemento El MEJOR método de probar la exactitud de un sistema de cálculo de impuestos es: MEJOR para probar de auditoría un cálculo de impuestos. Detectar fraudes podría ser una consecuencia de una auditoría de SI pero no es el propósito para el que se realiza una auditoría de SI. La opción D es también una El contrato de auditoría típicamente establece la función y la responsabilidad del departamento de razón valida. ya que esto implica a menudo un procesamiento adicional que puede en realidad reducir el tiempo de respuesta para los usuarios. Usando muestreo estadístico. visual la requeridométodo de un auditor de SI ylael corrección alcance de la no debe estar limitadoLaporrevisión la capacidad deldetallada. Las opciones B. La opción B provee únicamente la probabilidad de que una amenaza explote una vulnerabilidad en el activo pero no provee la magnitud del posible daño al activo. no es la razón primaria. El éxito de la autoevaluación de control (CSA) depende en gran medida de: La razón primaria para llevar a cabo auditorías de SI es determinar si un sistema salvaguarda los activos y mantiene la integridad de los datos. que una auditoría que tuviera un propósito y un alcance mas amplios. Habilitar pistas de auditoría si implica almacenamiento y de eso modo ocupa espacio de disco. El grado hasta donde los datos serán recolectados durante una auditoría de SI debe relacionarse El grado hasta donde los datos serán recolectados durante una auditoría de SI debería ser determinado directamente con el alcance y el propósito de la auditoría. cuando en realidad sí existen. ni describe un código de conducta profesional ya que dicha conducta es fijada por la profesión y no por la gerencia. que los errores materiales no existen cuando en realidad existen. C y D son características de un método tradicional de auditoría. Una auditoría que tenga un propósito y un basado en: alcance estrechos lo más probable es que tendría como consecuencia menos recolección de datos. Examinar libros de contabilidad es uno de los procesos involucrados en una auditoría de SI pero no es el propósito primario. no resolverían la exactitud de cálculos individuales de impuestos. El software integrado de recolección de datos (auditoría) se usa para tomar muestras y para proveer estadísticas de producción. Este tipo de decisión de análisis del riesgo puede ayudar a relacionar el análisis costo-beneficio del control con el riesgo conocido. de por lo tanto. respecto al impacto de un hallazgo. El vicepresidente de recursos humanos ha solicitado una auditoría para identificar los sobrepagos de planilla/nómina para el año anterior. ¿Cuál de las herramientas siguientes es la MÁS adecuada para realizar esa tarea? I En una auditoría de una aplicación de inventario.e. eliminado. ya que la comparación del código fuente identificará los cambios. Cualquier cosa que parezca amenazar a los auditados reducirá las comunicaciones efectivas y El primer paso un enfoque de auditoría en el riesgo es establecerá una en relación adversa. SI elabore y aclare los riesgos y exposiciones. determinar si hubo sobrepagos. El basado en el riesgo.. i. el auditor de SI no se esta basando solamente en el riesgo. Por basada la misma razón. Inmediatamente después. permitiendo elecciones prácticas. automáticamente expresen unDespués punto dedevista alterno. verificación de secuencia. el recolectar auditor información de SI no sobre debeel negocio aceptar y la industria paraporque evaluarlos losauditados riesgos inherentes. A pesareldecódigo. La existencia de controles internos y operativos tendrá un peso sobre el enfoque de la auditoría por el auditor de SI. pero esta necesitan ser consideradas ellas no son consideradas directamente a menos que tengan un impacto en los controles es una ytarea investigativa que tendría lugar después de asegurarse que el código malicioso ha sido internos operativos. una prueba integrada ni las un En el curso de la realización de un análisis de riesgo. el auditor quiere analizar las pistas de auditoría para descubrir potenciales anomalías en el comportamiento de usuarios o del sistema. además del riesgo. un auditor de SI ha identificado Es amenazas potencialesdeyauditoría los impactos posibles están para identificados. Las herramientas de detección de tendencias /varianzas buscan anomalías en el comportamiento de usuarios o del sistema. que la estructura la organización y las responsabilidades de auditor trabajo de SI puede analizar la información del virus y determinar si éste ha afectado el sistema operativo. códigos posiblemente infectados. Las herramientas heurísticas de escaneo se pueden usar para escanear en busca de virus para indicar Para determinar la validez de la orden de compra. Los datos de prueba probarían si existen controles que pudieran impedir los sobrepagos. amenazas e impactos potenciales. un auditor de SI.I I Las características del software generalizado de auditoría incluyen cómputos matemáticos. el auditor de SI debe: I En un enfoque de auditoría basado en el riesgo. eliminar El auditorde de SI no es responsable de investigardel el puesto virus. usando software generalizado de auditoría. análisis estadístico. ¿qué método proveerá la MEJOR evidencia de que las órdenes de compra son válidas? El auditor tiene una garantía objetiva. un auditor de SI debe: debe describir y discutir con la gerencia las amenazas y los impactos potenciales sobre los activos. y a quiénes fueron efectuados. un auditor de SI debería realizar primero una: I En un enfoque de auditoría basado en el riesgo. La opción D no es cierta. En un enfoque basado en el riesgo. realizar la evaluación de los riesgos inherentes.tienen el auditor de SI sobre debería sugerirde controles de prueba disponibles y las manifestaciones la Gerencia. poco impacto el enfoque auditoría correctivos. determinando para los documentos prenumerados si los números son secuenciales o incrementales. durante una entrevista de salida. y la opción D no sirve al propósito porque lo que está en la documentación del sistema puede no ser lo mismo que lo que está ocurriendo. sino también en los controles internos y operativos así como también en el conocimiento de la compañía y del negocio. estratificación. La naturaleza de técnicas La prioridad es salvaguardar el sistema. un auditor de SI usaría software de comparación de código fuente para: I En los casos en que hay desacuerdo. Los controles serian entonces probados sobre la base de los resultados de prueba. un auditor de SI módulo integrado detectarían errores un períodoAl anterior. se realizarían las pruebas sustantivas y serian evaluadas. La meta debe ser explicar a los auditados o descubrir nueva información de que el auditor de SI puede no haber estado en conocimiento. concluirse una auditoría. estaría influenciado por la: I En un servidor crítico. ya que es posible que los auditados no aprecien totalmente la magnitud de la exposición. Las herramientas CASE se usan para asistir en el desarrollo de software. es importante que el auditor de comparación de código fuente no serán detectados. . ¿Cuál de los siguientes debería hacer PRIMERO un auditor? I En una auditoría de SI de varios servidores críticos. el siguiente paso sería realizar una evaluación de la estructura de control interno. El auditor de SI. ya que los cambios hechos desde la adquisición de la copia no están incluidos en la copia del software. Instalar el parche que elimina la vulnerabilidad debe hacerlo el soporte técnico. por ejemplo. podría diseñar pruebas apropiadas para recalcular la planilla/nómina y. de ese modo. un auditor de SI descubre un caballo de Troya que fue producido por un virus conocido que explota una vulnerabilidad de un sistema operativo. probar los controles de acceso proveerá la mejor evidencia. La opción B no es cierta. ya que cualesquiera cambios hechos y restaurados entre el tiempo en que la copia de control fue adquirida y en que se hace la Si los auditados no estuvieran de acuerdo con el impacto de un hallazgo. Las opciones B y C están basadas en métodos posteriores al hecho. ¿Cuál sería la MEJOR técnica de auditoría para usar en esta situación? I En el proceso de evaluar los controles de cambio de programa. independiente y relativamente completa de cambio de programa. verificación de duplicados y recálculos. importante que un auditor de SI de identifique evalúe los controles y la Ni seguridad existentes una vez que pero no detectarían los errores cálculo y específicos anteriores. La opción C no es cierta ya que el Auditor de SI tendrá que obtener esta garantía por separado. A menos que haya algún desvío potencial que reportar. no meramente por el departamento de auditoría de los El uso de de información. no del activo.La La responsabilidad. Este análisis debe identificar áreas con riesgo relativamente de la complejidad de los sistemas de computadora de una organización.Se Los análisis de riesgos realizados por los auditores de SI son un factor crítico para la planeación de de SI normalmente revisaría y daría seguimiento sólo a las deficiencias materiales o errores debe hacerLa un análisis riesgo yapara garantía razonable de depende que seefectivamente abarcaran detectados. El enfoque de la evaluación del riesgo asegurara que se aplique un nivel de protección apropiado al nivel de riesgo y al valor Entender de negocio el primer paso el Auditor de SI realizar.ely proceso por lo tanto. enfoque de la línea base aplica meramente un conjunto estándar de protección independientemente del la gerencia de seguridad de información es que éste asegura que: riesgo. la función primaria del auditor de SI es asegurar que estén incluidos los controles. no es la razón primaria para el recorrido y ocurre típicamente en una etapa posterior en la auditoría. A menos La función PRIMARIA de un auditor de SI durante la fase de diseño del sistema de un proyecto de que esté presente específicamente como un consultor. el auditor de SI no debería participar en diseños desarrollo de aplicaciones es: detallados. El enfoque de necesita línea base permiteLos queestándares más recursos La razón PRIMARIA de un auditor de SI que realiza un recorrido profesional durante la fase requieren quehacia el auditor realice un recorrido proceso. técnicas continuas de auditoría puede enLas realidad mejorar la seguridad del sistema sistemas o del departamento de usuarios. La función del auditor de SI es asegurar que estén incluidos los controles requeridos. proceso (por ejemplo. metodología de planeación resultantes deben La ventaja PRIMARIA de un enfoque continuo de auditoría es que: cuando se yusa en entornos quegerencia comparten tiempode que procesan un gran de ser revisadas aprobadas por la alta y por el el comité auditoría.&rdquo. Cuando se establecen los programas de CSA. y planear las pruebas sustantivas también se hace en una etapa posterior en la auditoría. una vez establecida no es revisada de manera rutinaria y debe ser cambiada de continua a menudo requiereexhaustivamente. La opción A es incorrecta ya que el enfoque porque la carta de auditoría.) El auditor de SI debe identificar las decisiones subjetivas requeridas para usar una metodología en particular y considerar si estos juicios pueden hacerse y ser validos a un nivel apropiado de exactitud&rdquo. y es.. La alta gerencia ha solicitado que un auditor de SI asista a la gerencia departamental en la implementación de los controles necesarios. Un auditor de SI puede realizar asignaciones que no sean de auditoría cuando la experiencia y conocimientos del auditor pueden ser de utilidad para la gerencia. Se debe hacer un análisis del riesgo para proveer: adecuadamente los puntos materiales. Sin El lineamiento de auditoría de SI el uso análisis del riesgo en la sugiera planeación de auditoríacontroles expresa: embargo. C y D no deben ser la función del auditor de SI. el auditor de SI no puede llevar a cabo futuras auditorías del auditado ya que su independencia puede estar comprometida. y obligaciones de rendir cuentas de la función de auditoría de los sistemas sistemas de información están debidamente documentadas en una carta o contrato de auditoría de información deben ser debidamente documentadas en una carta de auditoría o carta (Audit Charter) y DEBEN ser: compromiso. mientras que el La PRINCIPAL ventaja del enfoque de evaluación del riesgo sobre el enfoque de línea base para funciones son más apropiadas para el cliente.Todas las metodologías de análisis de riesgo se basan en juicios subjetivos en ciento momento del al auditado después de la auditoría.. Las opciones B. que un auditor de SI recolecte evidencia sobre la confiabilidad soloauditoría si el cambio puede ser. justificado del sistema mientras está llevando a cabo el procesamiento. debería conducir y orientar a los clientes para evaluar su ambiente. Durante la fase de diseño. los auditores de SI se convierten en profesionales La función tradicional de un auditor de SI en una autoevaluación de control (control self-assessmentde control interno y en facilitadores de evaluaciones. Hay una ventaja de costo en no sobreproteger la información. El auditor de SI debería: La norma sobre responsabilidad. la independencia delsobre auditor no de seunverá afectada cuando /recomiende La evaluación de riesgos es un proceso: &ldquo. Identificar lasa debilidades de los controles preliminar de una asignación de auditoría es: sean dirigidos los activos que están en mayor del riesgo de dirigir los recursos todos los activos. al auditor de SI no le concierne el control de proyecto en esta etapa. para asignar ponderaciones a los diversos parámetros. toma en es cuenta el valor del que activo. autoridad y obligación de rendir cuentas de las funciones de auditoría de los responsabilidad autoridad. pero dejan muy pocas pistas de papel. La opción B es incorrecta ya que un auditor La directriz para la auditoría de SI sobre la planeación de la auditoría de SI establece: &ldquo. alto de existencia de problemas materiales&rdquo. La opción D esnumero incorrecta transacciones. opción D esdeincorrecta que elproveer uso de técnicas de auditoría continua la auditoría.I I I I I I I I I En esta situación el auditor de SI debería informar a la gerencia sobre el perjuicio a la independencia para llevar a cabo auditorías posteriores en el área del auditado. realizando la asignación que no es de auditoría. Los auditores de SI son los facilitadores y el CSA) debe ser la de: cliente (gerencia y personal) es el participante en el proceso de CSA. Las opciones B y C son incorrectas porque la carta de auditoría debe ser aprobada por la gerencia de mas alto nivel. sin embargo. autoridad y obligación de rendir cuentas expresa &ldquo. Estas Una evaluación completa del riesgo determina el nivel apropiado para un nivel dado de riesgo. en vez de que el auditor de SI realice procedimientos detallados de auditoría. Durante un taller de CSA. Sin embargo una ventaja aún mayor es asegurarse que ningún activo de información esta sobre ni protegido de manera insuficiente. Garantía suficiente de que se abarcaran los puntos . Las opciones B y C son situaciones que no comprometen la independencia del auditor de sistemas. pero lo que entrega valor a la organización son los recursos y esfuerzos que se están dedicando y que están concentrados en las áreas de mayor riesgo. El gerente había escrito la contraseña. control tangible o documentado. etc. La planeación estratégica pone en movimiento los objetivos corporativos o departamentales. Los métodos de muestreo rubros que cumplan los criterios de selección. del sistema. programas. el Auditor de SI debe usar: I Para identificar el valor del inventario que se ha guardado (no han rotado) por más de ocho semanas. La opción C es incorrecta porque el muestreo Un auditor de SI descubre evidencia de fraude perpetrado con la identificación del Las debilidades de control contraseña significan que cualquiera lasincorrecta otras tres opciones estadístico no requiere el uso dede software generalizado de auditoría. Se puede comprometer la independencia si el auditor de sistemas está o ha estado involucrado activamente en el desarrollo. La opción C es una descripción del muestreo detenerse o seguir. La seguridad de contraseña al perpetrador. seleccionar muestras de maneraquealeatoria registros desdedebería un archivo. se puede decir que: I Revisar los planes estratégicos a largo plazo de la gerencia ayuda al auditor de SI a: I Se asigna a un auditor de sistemas para que realice una revisión de un sistema de aplicación posterior a la implementación. Revisar los planes estratégicos a largo plazo no alcanzaría los objetivos expresados por las otras opciones. lo MÁS probable es que un auditor de SI utilice: I Respecto al muestreo. etc. estratificación. La planeación estratégica está orientada al tiempo y al proyecto. el muestreo estadístico es un método Un auditor de SI debe usar muestreo estadístico y no muestreo de juicio (no estadístico). así como también una capacitación adecuada (B) mejorará la productividad del personal de auditoría de SI (eficiencia y desempeño). Este riesgo existe tanto para las muestras de juicio como para las muestras estadísticas. el PRIMER paso sería: Monitorear el tiempo (A) y los programas de auditoría (D). el coeficiente de querría verificar todos los ítem que reúnen criterios y no solo una muestra de ellos. e implementación del sistema de aplicación. Los datos de prueba son usados para verificar los objetos que satisfacen los criterios y no sólo una muestra de ellos. asignada por el administrador podría ser cierta.I Los diagramas de flujo de datos son usados por los Auditores de SI para: Los diagramas de flujo de datos se usan como ayudas para graficar o diagramar el flujo y almacenamiento de datos. Los diagramas de flujo no ordenan los datos en ningún orden jerárquico. pero no confirmaran nada sobre las transacciones en cuestión. La opción D es una definición de muestreo de atributos. La opcióndeD es porque la tasa de usuario de un Gerente. El software generalizado de auditoría provee acceso directo a estadístico al azar seleccionan datos de un archivo. El auditor de SI debería concluir que el: establece culpa más allá de la duda . no error tolerable debe estar predeterminada tanto para elidentificaría muestreo denormalmente juicio como para el muestreoEn estadístico. I Para determinar la suma de dólares de los cheques emitidos a cada vendedor en un período especificado. El software generalizado de auditoría provee acceso a los datos y provee las características de cómputo. I Para asegurar que los recursos de auditoría entreguen el mejor valor a la organización. En este caso. que ayuda a un auditor de SI a determinar el tamaño de la muestra y a cuantificar la probabilidad de error (coeficiente de confianza). El flujo de los datos no coincidirá necesariamente con ningún orden jerárquico o de generación de datos. El simulacro paralelo procesa los datos de producción usando programas de computadora que simulan la lógica de programa de aplicación y no reportan los datos históricos. aellaauditor de por SI lo general como un porcentaje.permite El muestreo es generalmente aplicable cuando población refiere a un (integratedpuede test facility-ITF) al auditor de SI probar transacciones a travésladel sistema ense producción. estratificación. dentro del cajón/ la gaveta de su escritorio. cuando: objetivo de muestreo. Dada una tasa de error esperado y un nivel de confianza. con ellos se rastrean los datos desde su origen hasta su destino. Si el auditor sabe que los controles internos son fuertes. pero no confirmarán nada sobre las transacciones en cuestión. adquisición. El uso de métodos de muestreo estadístico no pretende seleccionar condiciones específicas. este caso. Los datos de prueba se usan para verificar el procesamiento del El software generalizado de auditoría facilitara la revisión de todo el archivo de inventario para buscar los programa. Una prueba integrada confianza descender. La opción D es incorrecta porque la independencia del auditor de sistemas no compromete suministrando asesoría sobre las mejores prácticas conocidas. En esta situación. ¿Cuál de las siguientes situaciones puede haber comprometido la independencia del auditor de sistemas? El auditor de sistemas: I I El software generalizado de auditoría facilitará la revisión de todo el archivo para buscar los objetos que satisfagan los criterios de selección. pero debe también tratar y ayudar a determinar prioridades para satisfacer las necesidades del negocio. sino que se usa para El muestreo estadístico cuantifica tan aproximadamente una muestra representar población. el Auditor de SI quiere verificar todos los datos y provee funciones de cómputo. resaltando las rutas y el almacenamiento de los datos. La opción B es incorrecta porque el riesgo de muestreo es el riesgo de que una muestra no sea representativa de la población. ello no afecta la integridad de los datos en el sistema. como por ejemplo los detectaráde el abuso de cuentas de usuario circunstancias especiales sustantivas y por lo tanto no es una primera línea saldos los estados financieros. Un auditor de SI ha evaluado los controles en busca de la integridad de los datos enEste es el hallazgo más significativo ya que afecta directamente la integridad de los datos de la aplicación y es evidencia de un proceso inadecuado de control de cambios y los derechos de acceso incorrectos al entorno de una aplicación financiera. Los que riesgos de información. Los módems externos representan un riesgo de seguridad. predeterminados. la políticas. ¿Cuál de los siguientes es MÁS probable que sea el siguiente paso en la auditoría? llevadas a cabo y revisadas. siguiente paso lógico. El en desarrollo de pruebas depende a menudo del Uno de los factores clave a ser considerados mientras se evalúan los riesgos relacionados con el uso de diversos de defensa. Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en línea de Un auditor de SI está efectuando una auditoría de un sistema operativo de red. el Auditor de SI debe: si los controles existir son adecuados totales de controlque parapodrían confirmar la totalidad de los datos. El paso siguiente para confirmar datos pero puede afectar el almacenamiento de los datos. Revisar una impresión de respuestas que seoriginales dieron aconlas 100 preguntas fueran confirmadas por los 100 las registros de datos registros delde auditor datos no importados es un proceso de Un Auditor de SI que entrevista a un empleado de planilla encuentra que las respuestas Si documentados o por descripciones de losregistros puestos solamente. y comunicaciones entre ser usuarios. A pesar de que las copias de respaldo sólo una vez por semana es un hallazgo. ¿Cuál documentación de red. porque los datos originales pueden no estar en el orden de clasificación. ¿Cuál de los hallazgos siguientes sería el MÁS significativo? procesamiento. C y D son ejemplos de funciones de sistemas operativos de red entre las cuales están incluidas El aprovechamiento de un ID y contraseña de usuario conocidos requiere mínimos conocimientos técnicos Un auditor de SI está evaluando una red corporativa en busca de una posible lasexpone siguientes: soportar de el laacceso deexplotación terminales a anfitriones (hosts) remotos. que el impacto de muchos IDs de usuario sequeestán tengan contraseñas La pruebaMientras de cumplimiento determina si los controles aplicando de idénticas acuerdo puede con ser las Un auditor de SI está revisando el acceso a una aplicación para determinar si los 10 formularios elevado. tales como para valores de de: exitosamente a la red. la eficacia de los controles debe ser considerada durante la etapa de mitigación del riesgo y no durante la etapa de evaluación del riesgo. sólo dólar. Poner mayor confianza en las . Las opciones B. Las competencias técnica y profesional no son relevantes para el requerimiento de independencia. Este es un ejemplo probabilidad es elevadasedebido nivel de conocimientos que se requiere penetrar El muestreo no de variables usa al para estimar los valores técnicos numéricos.I I I I I I I I I Un Auditor de SI emite un reporte de auditoría señalando la falta de funciones de protección de firewall en la entrada (gateway) perimetral de la red y recomienda que un vendedor de productos resuelva esta vulnerabilidad. debido a la instalación de Caballos de Troya o programas de key-logging). pero la explotación o aprovechamiento aún depende del uso de una cuenta válida de usuario. No es posible confirmar la si los datos importados están completos se lleva a cabo: totalidad (completeness) clasificando los datos importados. más pruebas pueden ser función de monitoreo del riesgo que sigue a la etapa de evaluación del riesgo. (maliciosa). Un auditor de SI está revisando la evaluación del riesgo de la gerencia. hallazgos y recomendaciones no se haría hasta que todos los resultados fueran confirmados. (por ejemplo. ¿Cuál de los hallazgos siguientes debería archivos entre (hosts). procedimientos expandir de las de los controles incluiroriginales pruebas sustantivas adicionales. La preparación de reportes. más recientes fueron correctamente autorizados. La anfitriones barrera técnica es baja y el impacto puede muy elevado. La prueba sustantiva sustancia la integridad del procesamiento real. A pesar que el monitoreo de red puede ser un control de detección útil. El auditor encuentra que el 50 % de los cálculos no coinciden con los totaleslos resultados. evidencias los de diferentesel alcance categorías y pruebas compararlos con los edatos aún requeriría que No se hay desarrollen Bajo estas circunstancias. ellos comprometen su independencia profesional. ya que esto confirma la integridad de los datos importados. El auditor no ha ejercido: Cuando un auditor de SI recomienda un vendedor específico. Esto incluye pruebas para determinar si las nuevas cuentas fueron debidamente autorizadas.o inadecuados.nuevo usuario&rdquo. Si las pruebas de cumplimiento indican que hay controles internos sistemas de información son las amenazas y las vulnerabilidades afectan astop-or-go los activos. La independence organizacional no tiene relevancia para el contenido de un reporte de auditoría y debe considerarse en el momento de aceptar el compromiso.que El muestreo permite una relacionados con el uso de activos de información deben ser evaluados aisladamente de revisar: prueba sea detenida lo antes posible y no es apropiada para verificar si se han seguido los procedimientos. de los sistemas resultado de las pruebas de cumplimiento. El auditor de SI debe PRIMERO adecuados. Después de que los cálculos hayan sido confirmados. De manera similar. La falta de sistemas apropiados de detección de incendios no afecta la integridad de los Comparar los totales de control de los datos importados con los totales de control de los datos originales es el Un auditor de SI ha importado datos de la base de datos del cliente. entonces las pruebas sustantivas se pueden minimizar. La documentación incompleta de desarrollo de la aplicación no afecta la integridad de los datos. manejar la transferencia de y los recursos red a la penetración por parte de empleados internos. los controles instalados. de trabajo. por lo tanto. la autorización del usuario a tener acceso a recursos particulares y la red y las computadoras anfitrionas (hosts) a ser usadas sin acciones o comandos especiales de usuario. elFiltrar Auditordatos de SI debe verificación física y confirma la las corrección de estos para no respaldan las descripciones de los puestos de trabajo y de los procedimientos documentados. Además la clasificación no provee totales de control para verificar la totalidad (completeness). Otras funciones serían el acceso del usuario a diversos recursos de de las siguientes es una función de usuario que el auditor de SI debe revisar? anfitriones (hosts) de red. Se debe establecer un Un auditor de SI evalúa los resultados de prueba de una modificación a un sistema que trata conEl auditor depara SI monitorear debería luego examinar casos cálculos incorrectos confirmar mecanismo constantemente los donde riesgos ocurrieron relacionados con los activos y durante la cómputo de pagos. el hecho de que muchos preocupar MÁS al auditor de SI? IDs de usuario tengan contraseñas idénticas representa la mayor amenaza. &ldquo. participación de tanto los auditores como la gerencia de línea. Las responsabilidades son parte del negocio y no son un riesgo en forma inherente. sin documentos de trabajo. Probar la seguridad de acceso a archivos de datos no resuelve la revisión más exhaustiva en una fecha posterior. Un diagrama de flujo de trabajo proporcionaría información sobre las funciones de diferentes empleados. sin embargo. La CSA no Un contrato de auditoría debería establecer los objetivos de la gerencia para. Dyeslaincorrecta delegación de pretende reemplazar las responsabilidades de la auditoría. . tal como ésta existía en el comienzo de la auditoría. La respuesta porque autoridad a la auditoría de SI. Esto ayuda al auditor de SI a saber si hay una segregación apropiada de funciones. Todas las acciones correctivas emprendidas por el Las vulnerabilidades son un elemento clave en la realización de un análisis de riesgo. no el control de acceso a la documentación de programas. Los documentos de trabajo pueden ayudar al auditor a eliminar la necesidad de volver a probar. debería ser aprobado al nivel mas alto de la gerencia. Un auditor de SI no debe asumir la función del oficial de cumplimiento niasumir participación personal alguna para retirar o eliminar el software no autorizado. Si se emprende una acción después de que comenzó la auditoría y antes de que terminara. Las otras opciones pueden ser objetivos de una auditoría de aplicación pero no forman parte de una auditoría restringida a una revisión de controles. encontró un informe En ausencia de documentos de trabajo de auditoría. La piratería de software tiene como consecuencia la exposición inherente y puede resultar en severas multas. I Un Auditor de sistemas que trate de determinar si el acceso a la documentación de programas está restringido a las personas autorizadas. Un reporte de auditoría debe reflejar la situación. Lo que ocurre es que la función de auditoría interna pasa algunas de las responsabilidades de monitoreo de control a las áreas funcionales. Un auditor de SI revisando la efectividad de los controles de TI. Probar los registros de utilización no resolverá la seguridad de acceso a La CSA se predica sobre la revisión de las áreas de alto riesgo que o bien necesitan atención inmediata o una la documentación de programas.delegue Este contrato no debería de manera significativa con él tiempo y la CSA no permite que la gerencia su responsabilidad de cambiar controlar. su efectividad. el auditor debe estar preparado para volver a probar los controles. sino aumentarlas. El auditor de SI debe convencer al usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el riesgo. Sin volver a probar el auditor no estará ejerciendo el debido cuidado profesional mientras ¿Cómo debe proceder el auditor de SI? realiza la auditoría. La respuesta B es incorrecta porque la CSA requiere la seguridad de la documentación de programas. Preguntar a los programadores sobre los procedimientos que se están siguiendo actualmente es útil para determinar si el acceso a la documentación de programas está restringido a las personas autorizadas. Un organigrama provee información sobre las responsabilidades y la autoridad de personas en la organización. El contrato de auditoría no estaría a un nivel de detalle y por lo tanto no incluiría objetivos o procedimientos específicos de auditoría. lo MÁS probable es que: I Un beneficio PRIMARIO para una organización que emplea técnicas de auto evaluación de controles (control self-assessment-CSA). un auditor de SI debe volver a probar los controles para ver de auditoría anterior. Evaluar los planes de retención de registros para almacenamiento fuera de las instalaciones pone a prueba los procedimientos de recuperación. ¿Cuál de las siguientes acciones debería emprender el auditor de SI? I Un auditor de SI que realiza una revisión de los controles de aplicación evaluaría: I Un auditor de SI revisa un organigrama PRIMARIAMENTE para: I El uso de software no autorizado o ilegal debe estar prohibido en una organización. Un diagrama de red proveerá información sobre el uso de diversos canales de comunicación e indicará la conexión de los usuarios a la red. Un control de revisión de aplicaciones implica la evaluación de los controles automatizados de la aplicación y una evaluación de cualesquiera exposiciones resultantes de las debilidades del control. es que ella: I Un Contrato de auditoría debería: I Un elemento clave en un análisis de riesgo es /son: I Una acción correctiva ha sido tomada por un auditado inmediatamente después de la identificaciónIncluir el hallazgo en el reporte final es una práctica de auditoría generalmente aceptada. el reporte de auditoría debe de un hallazgo que debería ser reportado. El auditor debe: identificar el hallazgo y describir la acción correctiva tomada. La planeación de la auditoría está constituida por procesos de corto y largo plazo que pueden detectar amenazas a los activos de información. Los controles mitigan los riesgos asociados con amenazas específicas. La respuesta C es incorrecta porque la CSA no es un reemplazo de las auditorías tradicionales.I Un auditor de SI que lleva a cabo una revisión del uso y licenciamiento de software descubre que numerosas PCs contienen software no autorizado. como por ejemplo los saldos de los estados financieros. I Una prueba sustantiva para verificar que los registros de inventario de biblioteca de cintas son correctos. ¿Cuál de las siguientes es una prueba sustantiva? determinaría si los registros de la biblioteca de cintas están establecidos correctamente. siguientes? prueba sea detenida lo antes y no por es apropiada para verificar si se han de seguido los procedimientos. entonces las sustantivas por se pueden minimizar. de los datos o de otra información. Sin La opción laA toma en consideración tantonola se probabilidad como cuando la magnitud del /recomiende impacto y provee la embargo. Esto implica establecer entidades ficticias en un sistema de aplicación y procesar datos de prueba o de producción contra la entidad como un medio de verificar el procesamiento adecuado. por parte del auditor. Este es un ejemplo El muestreo de variables se usa para estimar los valores numéricos. La prueba sustantiva sustancia la integridad del procesamiento real. El desarrollo de pruebas sustantivas depende a menudo del resultado pruebasestá de directamente cumplimiento. sin embargo. B y D son pruebas de cumplimiento. material El o desarrollo significativo de un cuando cronograma se combina de auditoría con nootros está dirigido errores durante por un método la auditoría. Esto incluye pruebas para determinar si las nuevas cuentas fueron debidamente autorizadas. Usando ¿Cuál de los siguientes es un beneficio de un método de planeación de auditoría basado en el riesgo? muestreo estadístico. el auditor de SI no puede llevar a cabo futuras auditorías del auditado ya que su independencia puede estar comprometida. El método Suponiendo basado que en no el hay riesgo controles está compensatorios diseñado pararelacionados. realizando la asignación que no es de auditoría. las que áreas podría de mayor ser riesgo. Un riesgo de control es posible controlado las acciones de la gerencia la compañía. Si las pruebas de cumplimiento indican quedehay internos Un riesgo de de las detección afectado por la selección. tales como valores de de: dólar. asegurar que el riesgo el inherente tiempo de es elauditoría riesgo de que sea exista un en empleado error. basado Elenmuestreo el riesgo. cuando en realidad sí existen. de cronograma. El muestreo Un método estadístico de riesgo nonominimizará tiene una correlación esto. Una prueba sustantiva adecuado para un proceso científico de administración del riesgo. Un conteo físico del inventario de cintas es una prueba sustantiva. Una prueba de cumplimiento determina si se están aplicando los controles de una forma consistente con las políticas y procedimientos de la gerencia. De manera similar. En esta situación el auditor de SI debería informar a la gerencia sobre el perjuicio a la independencia para La alta gerencia ha solicitado que un auditor de SI asista a la gerencia departamental en la llevar a cabo auditorías posteriores en el área del auditado. I I I I I I I La prueba de cumplimiento determina si los controles se están aplicando de acuerdo con las Un auditor de SI está revisando el acceso a una aplicación para determinar si los 10 políticas. la opción C considera solamente la magnitud del daño y no la posibilidad de que una amenaza explote una vulnerabilidad. loscontroles procedimientos y ¿Las decisiones y las acciones de un auditor es MáS probable que afecten a cuál de los riesgos adecuados. independencia del auditor verá afectada sugiera controles El riesgo general del negocio para una amenaza en particular se puede expresar como: mejor medida del de riesgo para un activo.estadístico Los cronogramas será material de auditoría o significativo pueden cuando ser preparados se combine con con meses otros de errores encontrados anticipación usando diversos durante métodos la auditoría. Las opciones A. un auditor de SI puede cuantificar con qué aproximación debe la muestra representar a la población y debe cuantificar la probabilidad de error. Lospruebas riesgos inherentes lo general no están afectados por el permite auditor que de una SI. revisar la autorización cambiar y revisar reportes son todas pruebas de El riesgo de para detección es parámetros el riesgo de que ellos auditor de históricos SI use de un contraseña procedimiento inadecuado de cumplimiento.I Una prueba integrada (integrated test facility-ITF) se considera una herramienta útil de auditoría porque: Una facilidad de prueba integrada se considera una herramienta útil de auditoría porque usa los mismos programas para comparar el procesamiento usando datos calculados de manera independiente. El auditor de SI debería: que no sean de auditoría cuando la experiencia y conocimientos del auditor pueden ser de utilidad para la gerencia. es: Una prueba sustantiva incluye recolectar evidencias para evaluar la integridad de las transacciones individuales. El directa riesgo con de . El riesgo de muestreo es el riesgo de que se hagan supuestos incorrectos sobre las características de una población a partir de la cual se selecciona una muestra. Los riesgos financieros no están afectados por el auditor de SI. Un auditor de SI puede realizar asignaciones implementación de los controles necesarios. La opción B provee únicamente la probabilidad de que una al auditado después la auditoría. El muestreo stop-or-go técnicas de auditoría. El uso de procedimientos estadísticos de muestreo ayuda a minimizar el riesgo: prueba y concluya que los errores materiales no existen. formularios "nuevo usuario" más recientes fueron correctamente autorizados. amenaza explote una vulnerabilidad en el activo pero no provee la magnitud del posible daño al activo. Verificar la autorización de los reportes de excepción. La opción D define el riesgo sobre una base arbitraria y no es Una prueba sustantiva confirma la integridad del procesamiento real. El contrato de auditoría típicamente establece la función y la responsabilidad del departamento de El propósito PRIMARIO de un contrato de auditoría es: auditoría interna. la evaluación del riesgo asegurara que se aplique un nivel de protección apropiado al nivel de riesgo y al El muestreo de atributos el método de muestreo que activo. ¿Cuál de las siguientes acciones debería emprender el auditor de SI? I Un elemento clave en un análisis de riesgo es /son: I Un Contrato de auditoría debería: I En un enfoque de auditoría basado en el riesgo. pero esto no provee evidencia del correo Electrónico. La naturaleza de Una evaluación completa del riesgo determina el nivel apropiado para un nivel dado de riesgo. El valor del activo. el enfoquede de auditoría basado en el riesgo. El contrato de auditoría no estaría a un nivel de detalle y por lo tanto no incluiría objetivos o procedimientos específicos de auditoría. Un auditor de SI no debe asumir la función del oficial de cumplimiento niasumir participación personal alguna para retirar o eliminar el software no autorizado. estaría influenciado por la: I I I I La razón primaria para llevar a cabo auditorías de SI es determinar si un sistema salvaguarda los activos y mantiene la integridad de los datos. Las vulnerabilidades son un elemento clave en la realización de un análisis de riesgo. El auditor de SI debe convencer al usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el riesgo. Los controles mitigan los riesgos asociados con amenazas específicas. Las otras elecciones se usan en comprobaciones substantivas que involucran la comprobación de detalles o cantidad. ni describe un código de conducta profesional ya que dicha conducta es fijada por la profesión y no por la gerencia. que supuestamente han sido borrados. podrían ser ¿Cuál de las siguientes es la razón MáS probable de por qué los sistemas de correo recuperados de estos archivos. mientras que el La PRINCIPAL ventaja del enfoque de evaluación del riesgo sobre el enfoque de línea base para la técnicas de prueba disponibles y las manifestaciones de la Gerencia. Los controles de acceso pueden ayudar a establecer responsabilidad de electrónico se han convertido en una fuente útil de evidencia en litigios? dar cuenta de la emisión de un documento en particular. y la delegación de autoridad a la auditoría de SI. se usa para comprobar el cumplimiento. tomaprimario en cuenta el valor del El enfoque de línea base permite que ¿Cuál de los métodos de muestreo es el MáS útil cuando se pone a prueba su cumplimiento? muestreo de atributos es un modelo muestreo se enusa para riesgo estimarde la tasa los de recursos ocurrencia de una más recursos sean dirigidos hacia losdeactivos queque están mayor dirigir a todos los calidad especifica (atributo) en una población y se usa en la comprobación de cumplimiento para activos. La piratería de software tiene como consecuencia la exposición inherente y puede resultar en severas multas. El enfoque de directamente a menos tengan impacto en esta los controles y operativos. Este se cambia muy pocas veces y no contiene el plan de auditoría o el proceso de auditoría que es por lo general parte del plan anual de auditoría. Debería establecer los objetivos de la gerencia y la delegación de autoridad al departamento de auditoría. Este tipo de decisión de análisis del riesgo puede ayudar a relacionar el análisis costo-beneficio del control con el riesgo conocido. Este contrato no debería cambiar de manera significativa con él tiempo y debería ser aprobado al nivel mas alto de la gerencia. Detectar fraudes podría ser una consecuencia de una auditoría de SI pero no es el propósito para el que se realiza una auditoría de SI. el auditor de SI no se esta basando solamente en el riesgo. Examinar libros de contabilidad es uno de los procesos involucrados en una auditoría de SI pero no es el propósito primario. Los archivos de respaldo contienen documentos. un auditor de SI. Las normas de clasificación de datos pueden haber sido fijadas respecto a lo que debería . Las responsabilidades son parte del negocio y no son un riesgo en forma inherente. y por loes tanto. sino también en los controles internos y operativos así como también en el conocimiento de la compañía y del negocio. además del riesgo. Sin embargo una ventaja aún mayor es las responsabilidades del puesto de trabajo necesitan ser consideradas ellas no son consideradas asegurarse que ningúnque activo de un información sobre niinternos protegido de manera insuficiente. permitiendo elecciones prácticas. El uso de software no autorizado o ilegal debe estar prohibido en una organización. Un contrato de auditoría debería establecer los objetivos de la gerencia para. tienen poco impacto sobre enfoque la línea base aplica meramente un conjunto estándar protección independientemente del riesgo. A pesar de deque la estructura de la organización y gerencia de seguridad de información es que éste asegura que: Hay una ventaja de costo en no sobreproteger la información.I El objetivo PRIMARIO de una función de auditoría de SI es: I Un auditor de SI que lleva a cabo una revisión del uso y licenciamiento de software descubre que numerosas PCs contienen software no autorizado. La existencia de controles internos y operativos tendrá un peso sobre el enfoque de la auditoría por el auditor de SI. En un enfoque basado en el riesgo. La planeación de la auditoría está constituida por procesos de corto y largo plazo que pueden detectar amenazas a los activos de información. confirmar si esta calidad existe o no. En otras palabras. procesamiento adicional que puede en realidad reducir el tiempo de respuesta para los usuarios. El muestreo es generalmente aplicable cuando la población se refiere a un control tangible o documentado. Este es un: I Se asigna a un auditor de sistemas para que realice una revisión de un sistema de aplicación posterior a la implementación. si al auditor de SI le preocupa si los controles de biblioteca de programas están mismas? funcionando correctamente. rastreando transacciones a través del sistema. Una prueba de cumplimiento determina si los controles están operando como se diseñaron y si están ¿Cuál de las siguientes pruebas es realizada por un auditor de SI cuando es seleccionada siendo aplicados en tal forma que cumplan con las políticas y procedimientos de gerencia. Un control correctivo es una categoría de controles. El uso de técnicas continuas de auditoría puede en realidad mejorar la seguridad del sistema cuando se usa en entornos que comparten el tiempo que procesan un gran numero de transacciones.I El departamento de SI de una organización quiere asegurarse de que los archivos de computadora usados en la instalación de procesamiento de información. se realizarían las pruebas sustantivas y serian evaluadas. La opción B es incorrecta ya que un auditor de Los de los programas incluyen la educación paraa la las gerencia de línea en responsabilidad del SI objetivos normalmente revisaría yCSA daría seguimiento sólo deficiencias materiales o errores control. con adquisición. Los procedimientos de control se desarrollan para proveer una garantía razonable de que se lograran los objetivos específicos. La opción D es también El riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya Este una razón es la razón primaria. Por una muestra de programas para determinar si las versiones fuentes y las versiones objeto son las ejemplo. Después de realizar la evaluación de los riesgos inherentes. que los errores materiales no existen cuando en realidad existen. ya que esto implica a menudo un evaluación preliminar. el principal objetivo de Habilitar de de auditoría ayuda establecer la obligación de rendir una cuentas y la responsabilidad de las cualquier pistas prueba cumplimiento es proveer a los auditores garantía razonable de que un El propósito PRIMARIO de las pistas de auditoría es: transacciones procesadas. Los controles operativos Se puede comprometer la independencia el auditor cotidianas. situaciones que no comprometen la independencia del auditor de sistemas. que está dirigida a minimizar la amenaza y/o a remediar los problemas que no fueron impedidos o que no fueron inicialmente detectados. no el reemplazo de la complejidad de los sistemas el de computadora una organización. La opción A es incorrecta ya que el enfoque de auditoría continua a menudo requiere que un auditor de SI recolecte evidencia sobre la confiabilidad del sistema mientras está llevando a cabo el procesamiento. Si el auditor sabe que los controles internos son fuertes. es un ejemplo de: I En un enfoque de auditoría basado en el riesgo. Las opciones C y D son herramientas de CSA y no objetivos. de las responsabilidades de auditoría. ejemplosin deembargo. seguimiento concentración lasde áreas alto riesgo. e de implementación del sistema de aplicación. El objetivo de habilitar software para control en particular en el que el auditor planea basarse está operando como el auditor lo percibió en la proveer pistas de auditoría no es mejorar la eficiencia del sistema. el siguiente paso sería realizar una evaluación de la estructura de control interno. Losdepende objetivos de los detectados. La opcióny D es incorrectadeyatodos que elenuso técnicasde de auditoría continua efectivamente programas de CSA incluyen aumento dede las responsabilidades de auditoría. Los controles serian entonces probados sobre la base de los resultados de prueba. se puede decir que: El primer paso en un enfoque de auditoría basada en el riesgo es recolectar información sobre el negocio y la industria para evaluar los riesgos inherentes. el coeficiente de confianza puede descender. por lo general como un porcentaje. riesgo deno detección. es un valida. pero dejan muy pocas pistas de papel. El muestreo estadístico cuantifica que tan aproximadamente debería una muestra representar a la población. La . La opción C es una descripción del muestreo detenerse o seguir. el auditor de SI podría seleccionar una muestra de programas para determinar si las versiones fuente y las versiones objeto son las mismas. ¿Cuál de las siguientes situaciones puede haber comprometido la independencia del auditor de sistemas? El auditor de sistemas: I La ventaja PRIMARIA de un enfoque continuo de auditoría es que: I ¿Cuál de los siguientes es un objetivo de un programa de auto evaluación de control (CSA)? I I I Los objetivos de control de SI especifican el conjunto mínimo de controles para asegurar la eficiencia y efectividad en las operaciones y funciones dentro de una organización. de sistemasy está o ha aestado involucrado activamente se ocupan de las funciones y actividades sioperativas ayudan asegurar que las operaciones en el cumpliendo desarrollo. Habilitar pistas de auditoría si implica almacenamiento y de eso modo ocupa espacio de disco. Las opciones B y C son estén los objetivos negocio deseados. La opción D es incorrecta porque la independencia del auditor de sistemas no compromete suministrando asesoría sobre las mejores prácticas conocidas. un auditor de SI debería realizar primero una: I Respecto al muestreo. estén respaldados adecuadamente para permitir la recuperación apropiada. El lineamiento de auditoría de SI sobre el uso de un análisis del riesgo en la planeación de auditoría expresa: "Todas las metodologías de análisis de riesgo se basan en juicios subjetivos en ciento momento del proceso (por ejemplo, para asignar ponderaciones a los diversos parámetros.) El auditor de SI debe identificar las decisiones subjetivas requeridas para usar una metodología en particular y considerar si estos juicios puedensobre hacerseresponsabilidad, y ser validos a unautoridad nivel apropiado de exactitud". La norma y obligación de rendir cuentas expresa "La I La evaluación de riesgos es un proceso: I La responsabilidad, autoridad y obligación de rendir cuentas de las funciones de auditoría de los responsabilidad autoridad, y obligaciones de rendir cuentas de la función de auditoría de los sistemas de sistemas de información están debidamente documentadas en una carta o contrato de auditoría (Audit información deben ser debidamente documentadas en una carta de auditoría o carta compromiso." Las Charter) y DEBEN ser: opciones B y C son incorrectas porque la carta de auditoría debe ser aprobada por la gerencia de mas alto nivel, no meramente por el departamento de auditoría de los sistemas de información, o del La planeaciónde estratégica en movimiento los objetivos corporativos departamentales. La planeación departamento usuarios. pone Las metodología de planeación resultantes deben o ser revisadas y aprobadas por la Revisar los planes estratégicos a largo plazo de la gerencia ayuda al auditor de SI a: estratégica está orientada al tiempo y al proyecto, pero debe también tratar y ayudar a determinar alta gerencia y por el comité de auditoría. La opción D es incorrecta porque la carta de auditoría, una vez prioridades para satisfacer las necesidades Revisar plazo establecida no es revisada de manera rutinaria y del debenegocio. ser cambiada sololos si elplanes cambioestratégicos puede ser, ay es,largo justificado no alcanzaría los objetivos expresados por las otras opciones. exhaustivamente. I I I I I I I Uno de los factores clave a ser considerados mientras se evalúan los riesgos relacionados con el uso de Un auditor de SI está revisando la evaluación del riesgo de la gerencia, de los sistemas de diversos sistemas de información son las amenazas y las vulnerabilidades que afectan a los activos. Los información. El auditor de SI debe PRIMERO riesgos relacionados con el uso de activos de información deben ser evaluados aisladamente de revisar: los controles instalados. De manera similar, la eficacia de los controles debe ser considerada durante la etapa de mitigación del riesgo y no durante la etapa de evaluación del riesgo. Se debe establecer un Cuando se diseña un plan deconstantemente auditoría, es importante las áreas alto riesgo mecanismo para monitorear los riesgosidentificar relacionados con de los más activos durantepara la Al planear una auditoría, el paso MáS crítico es la identificación de: determinar las áreas a ser auditadas. Los conjuntos de habilidades del personal de auditoría deberían función de monitoreo del riesgo que sigue a la etapa de evaluación del riesgo. haberse considerado antes de decidir y de escoger la auditoría. Los pasos de prueba para la auditoría no son tan críticos como identificar las áreas de riesgo, y el tiempo asignado para una auditoría está determinado por las áreas a ser auditadas. Las cuales son primariamente seleccionadas con base en la La CSA se predica sobre la revisión de las áreas de alto riesgo que o bien necesitan atención inmediata o una Un beneficio PRIMARIO para una organización que emplea técnicas de auto evaluación de controles identificación de los riesgos. revisión más exhaustiva en una fecha posterior. La respuesta B es incorrecta porque la CSA requiere la (control self-assessment&mdash;CSA), es que ella: participación de tanto los auditores como la gerencia de línea. Lo que ocurre es que la función de auditoría interna pasa algunas de las responsabilidades de monitoreo de control a las áreas funcionales. La respuesta C es incorrecta porque la CSA no es un reemplazo de las auditorías tradicionales. La CSA no El grado hasta donde los datos serán recolectados durante una auditoría de SI debe relacionarse El grado hasta donde los datos serán recolectados durante una auditoría de SI debería ser determinado pretende reemplazar las responsabilidades de la auditoría, sino aumentarlas. La respuesta D es incorrecta porque directamente con el alcance y el propósito de la auditoría. Una auditoría que tenga un propósito y un basado en: la CSA no permite que la gerencia delegue su responsabilidad de controlar. alcance estrechos lo más probable es que tendría como consecuencia menos recolección de datos, que una auditoría que tuviera un propósito y un alcance mas amplios. El alcance de una auditoría de SI no debería ser restringidos por la facilidad de obtener la información o por la familiaridad El primer paso y el más crítico en el proceso es identificar las áreas de alto riesgo dentro de la del auditor con el área que esta siendo auditada. Recolectar toda la evidencia requerida es un Cuando se implementan sistemas de monitoreo continuo el PRIMER paso de un auditor de SI es organización. Los gerentes del departamento de negocios y altos ejecutivos están en las mejores posiciones identificar: elemento requerido de un auditor de SI y el alcance de la auditoría no debe estar limitado por la capacidad del para ofrecer una opinión respecto a estas áreas. Una vez que las áreas potenciales de implementación hayan auditado de encontrar evidencia relevante. sido identificadas, se debería realizar una evaluación del impacto potencial para identificar las aplicaciones que proveen el mayor payback potencial a la organización. En este punto las pruebas La directriz para la auditoría de SI sobre la planeación de la auditoría de SI establece: "Se debe hacer un Los análisis de riesgos realizados por los auditores de SI son un factor crítico para la planeación de y los umbrales razonables objetivo deberían determinarse antes de la programación. Durante el análisis de riesgo para proveer garantía razonable de que se abarcaran adecuadamente los puntos la auditoría. Se debe hacer un análisis del riesgo para proveer: desarrollo de sistemas, se debe definir la ubicación y el formato de los archivos de salida (output) generados por materiales. Este análisis debe identificar áreas con riesgo relativamente alto de existencia de los programas de monitoreo. problemas materiales". Garantía suficiente de que se abarcaran los puntos materiales durante el trabajo de auditoría es una proposición impractica. Garantía razonable de que se abarcaran todos los puntos durante el I I I I I I I I I La función del auditor de SI es asegurar que estén incluidos los controles requeridos. A menos que esté presente específicamente como un consultor, el auditor de SI no debería participar en diseños detallados. Durante la fase de diseño, la función primaria del auditor de SI es asegurar que estén incluidos los controles. A menos que haya algún desvío potencial que reportar, al auditor de SI no le concierne el control de proyecto en esta etapa. En una auditoría de SI de varios servidores críticos, el auditor quiere analizar las pistas de auditoría Las herramientas de detección de tendencias /varianzas buscan anomalías en el comportamiento de para descubrir potenciales anomalías en el comportamiento de usuarios o del sistema. ¿Cuál de las usuarios o del sistema, por ejemplo, determinando para los documentos prenumerados si los números son secuenciales o incrementales. Las herramientas CASE se usan para asistir en el desarrollo de software. El herramientas siguientes es la MáS adecuada para realizar esa tarea? software integrado de recolección de datos (auditoría) se usa para tomar muestras y para proveer estadísticas de producción. heurísticas escaneo se pueden usar para escanear busca de para indicar La prueba Las de herramientas integridad de dominiode está dirigida a verificar que losen datos se virus ajusten a las ¿Cuál de los siguientes podría ser usado por un auditor de SI para validar la efectividad de las rutinas códigos posiblemente infectados. definiciones, i.e., los elementos de datos están todos en los dominios correctos. El objetivo principal de edición y de validación? de este ejercicio es verificar que las rutinas de edición y de validación están funcionando de manera satisfactoria. Las pruebas de integridad relacional se realizan a nivel del registro y por lo general implican calcular y verificar diversos campos computados , tales como los totales de control. Las verificaciones de Este es el hallazgo más significativo ya que afecta directamente la integridad de losllave/clave datos de laprimaria aplicacióndesde y es integridad referencial implican asegurar que todas las referencias a una Un auditor de SI ha evaluado los controles en busca de la integridad de los datos evidencia de un proceso inadecuado de control de cambios y los derechos de acceso incorrectos al entorno de otro archivo existen realmente en su archivo original. Una verificación o chequeo de paridad es un bit agregado en una aplicación financiera. ¿Cuál de los hallazgos siguientes sería el MáS significativo? procesamiento. A pesar detransmisión. que las copias una vez por semana un que hallazgo, ello parte no afecta a cada carácter antes de la El de bit respaldo de paridadsólo es una función de los esbits forman del la integridad de los datosrealiza en el sistema. Lafunción documentación incompleta de desarrollo de la el aplicación afecta la carácter. El destinatario la misma en el carácter recibido y compara resultadonocon el bit integridad los datos. La falta sistemas apropiados de detección de incendios no afecta la integridad de los de paridad de transmitido. se asume que hay un error. requiere El aprovechamiento deSi unfuera ID diferente, yde contraseña de usuario conocidos mínimos conocimientos técnicos Un auditor de SI está evaluando una red corporativa en busca de una posible datos pero los puede afectar de el almacenamiento de los datos. y expone recursos la red a la explotación penetración por parte de empleados internos. ¿Cuál de los hallazgos siguientes debería (maliciosa). La barrera técnica es baja y el impacto puede ser muy elevado; por lo tanto, el hecho de que muchos preocupar MáS al auditor de SI? IDs de usuario tengan contraseñas idénticas representa la mayor amenaza. Los módems externos representan un riesgo de seguridad, pero la explotación o aprovechamiento aún depende del uso de una cuenta válida de usuario. Mientras que el impactoel de muchosporIDs usuarioel auditor que tengan ser La prioridad es salvaguardar sistema; lo detanto, de contraseñas SI deberíaidénticas sugerir puede controles En un servidor crítico, un auditor de SI descubre un caballo de Troya que fue elevado, (por ejemplo, debido a la instalación de Caballos de Troya o programas de key-logging), la producido por un virus conocido que explota una vulnerabilidad de un sistema operativo. correctivos, i.e., eliminar el código. El auditor de SI no es responsable de investigar el virus. El auditor probabilidad no esla elevada debido nively determinar de conocimientos se requiere parapero penetrar de SI puede analizar información delalvirus si éste hatécnicos afectadoque el sistema operativo, esta ¿Cuál de los siguientes debería hacer PRIMERO un auditor? exitosamente a la red. A pesar que el monitoreo de red puede ser un control de detección útil, sólo es una tarea investigativa que tendría lugar después de asegurarse que el código malicioso ha sido detectará abuso el deparche cuentas usuario en circunstancias por lo técnico. tanto no es una primera línea eliminado.elInstalar quedeelimina la vulnerabilidad debeespeciales hacerlo el ysoporte de defensa. El objetivo primario del software forense es preservar la evidencia electrónica para satisfacer las ¿Cuál de las siguientes es la ventaja PRINCIPAL de usar software forense de computación para las reglas de evidencia. Los ahorros en tiempo y en costos, opción B, y la eficiencia y la eficacia, opción investigaciones? C, son preocupaciones legítimas y diferencian a los paquetes buenos de los paquetes deficientes de software forense. La capacidad de investigar las violaciones de los derechos de propiedad intelectual, opción D, es un ejemplo un usodedecontrol software Comparar losde totales deforense. los datos importados con los totales de control de los datos originales es Un auditor de SI ha importado datos de la base de datos del cliente. El paso siguiente para confirmar el siguiente paso lógico, ya que esto confirma la integridad de los datos importados. No es posible confirmar la si los datos importados están completos se lleva a cabo: totalidad (completeness) clasificando los datos importados, porque los datos originales pueden no estar en el orden de clasificación. Además la clasificación no provee totales de control para verificar la totalidad (completeness). Revisar una impresión de Las características del originales software generalizado de auditoría cómputos 100 registros de datos con 100 registros de datos incluyen importados es un matemáticos, proceso de El vicepresidente de recursos humanos ha solicitado una auditoría para identificar los estratificación, análisis estadístico, verificación de secuencia, verificación de duplicados recálculos. sobrepagos de planilla/nómina para el año anterior. verificación física y confirma la corrección de estos registros solamente. Filtrar ydatos para El auditor de SI, usando software generalizado de auditoría, podría diseñar pruebas apropiadas ¿Cuál sería la MEJOR técnica de auditoría para usar en esta situación? diferentes categorías y compararlos con los datos originales aún requeriría que se desarrollen para los recalcular planilla/nómina y, dela totalidad ese modo, si hubo sobrepagos, y a quiénes fueron totales de lacontrol para confirmar de losdeterminar datos. La función PRIMARIA de un auditor de SI durante la fase de diseño del sistema de un proyecto de desarrollo de aplicaciones es: I I I I I Durante una auditoría de seguridad de procesos de TI, un auditor de SI encontró que no había Uno de los principales objetivos de una auditoría es identificar los riesgos potenciales; por lo tanto, el método más proactivo sería identificar y evaluar las prácticas existentes de seguridad que la procedimientos de seguridad documentados. El auditor de SI debe: organización está siguiendo. Un auditor de SI no debe preparar documentación, y si lo hiciera, su independencia estaría en peligro. Dar por terminada la auditoría puede impedir que se logren los objetivos la datos auditoría, es está decir, la identificación de los potenciales. no hay La eficacia de de los de prueba determinada por la extensión de riesgos la cobertura de todosComo los controles procedimientos documentados, no hay contranolacubren cual probar el las cumplimiento. ¿Cuál de los siguientes es el MAYOR desafío al utilizar datos de prueba? clave a ser probados. Si los datos debase prueba todas condiciones válidas y no válidas, hay un riesgo de que la debilidad de control relevante pueda seguir sin ser detectada. Los cambios en el programa, por el período cubierto por la auditoría, pueden haberse efectuado para depurar o para funcionalidades adicionales. Sin embargo, como el método de datos de prueba involucra la prueba de datos para el período de auditoría, los cambios en el programa probado pueden tener unexistentes impactouna mínimo. importante que un auditor de SI identifique y evalúe los controles y la seguridad vez queLas las En el curso de la realización de un análisis de riesgo, un auditor de SI ha identificado Es aplicaciones con la tecnología actual por lo general no son afectadas por las transacciones adicionales. Los amenazas potenciales y los impactos posibles están identificados. Al concluirse una auditoría, un auditor de SI amenazas e impactos potenciales. Inmediatamente después, un auditor de SI debe: datos describir de pruebay son desarrollados por las el auditor, sinyembargo, no espotenciales necesario que el procesamiento debe discutir con la gerencia amenazas los impactos sobre los activos. sea bajo la supervisión de un auditor, ya que los datos de entrada serán verificados por los datos de salida (outputs). No reportar una intrusión es equivalente a un auditor de SI que esconde una intrusión maliciosa, lo ¿Cuál de las siguientes debe ser la MAYOR preocupación para un auditor de SI? cual sería un error profesional. A pesar de que puede requerirse la notificación a la policía y que la falta de un examen periódico de derechos de acceso podría ser una preocupación, ellos no representan una preocupación tan grande como la de dejar de reportar un ataque. Reportar al público no es un requisito y depende del deseo de la organización o de la falta del mismo de hacer saber sobre la intrusión. Entender los requerimientos del negocio es clave para definir los niveles de servicio. Mientras Durante una revisión de los controles sobre el proceso de definir los niveles de servicios de TI, un auditor de SI entrevistaría MáS que cada una de las otras entidades enumeradas puede suministrar alguna definición la mejor elección probablemente al: aquí es el gerente de unidad de negocio, debido a los amplios conocimientos que tiene esta persona sobre los requerimientos relacionados con la organización. I ¿Cuál de las siguientes opciones sería normalmente la evidencia MáS confiable para un auditor? La evidencia obtenida de terceros independientes casi siempre es considerada la más confiable. Las respuestas B, C y D no serian consideradas confiables. I ¿Cuál de los siguientes describe MEJOR una prueba integrada (integrated test facility&mdash;ITF)? La respuesta A describe mejor una prueba integrada (integrated test facility&mdash;ITF), que es un proceso de auditoría especializado asistido por computadora que permite que auditor de SI pruebe una aplicación de manera continua. La respuesta B es un ejemplo de un archivo de revisión de control de sistemas; las respuestas C y D son ejemplos de instantáneas. I I Cuando se evalúa el efecto colectivo de los controles preventivos de detección o correctivos dentro Un auditor de SI debería concentrarse en cuando los controles son ejercidos como flujos de datos a través del sistema de computadora. La opción B es incorrecta ya que los controles correctivos de un proceso, un auditor de SI debería estar consciente: pueden ser también relevantes. La opción C es incorrecta ya que los controles correctivos eliminan o reducen los efectos de los errores o irregularidades y son considerados exclusivamente como controles compensatorios. La opción D es incorrecta e irrelevante ya que la existencia y función de los controles es importante, no la Un auditor de SI descubre evidencia de fraude perpetrado con la identificación del Las debilidades de control de contraseña significan que cualquiera de las otras tres opciones clasificación. usuario de un Gerente. El gerente había escrito la contraseña, asignada por el administrador podría ser cierta. La seguridad de contraseña identificaría normalmente al perpetrador. En este caso, no del sistema, dentro del cajón/ la gaveta de su escritorio. El auditor de SI debería concluir que el: establece culpa más allá de la duda. Los datos de prueba son usados para verificar programas. Las solicitudes de cambio de programa son los documentos usados para iniciar el cambio. Un organigrama provee información sobre las responsabilidades y la autoridad de personas en la organización. Un diagrama de red proveerá información sobre el uso de diversos canales de comunicación e indicará la conexión de los usuarios a la red. ¿Qué técnica de auditoría provee la MEJOR evidencia de la segregación de funciones en un departamento de SI? I Para identificar el valor del inventario que se ha guardado (no han rotado) por más de ocho semanas. como por ejemplo las usadas para verificar los balances de cuentas por cobrar. Esto implica auditoría porque: establecer entidades ficticias en un sistema de aplicación y procesar datos de prueba o de producción contra la entidad como un medio de verificar el procesamiento adecuado. las prueba rutas y elintegrada almacenamiento de test facility&mdash. Las cartas de confirmación recibidas desde el exterior. ¿Cuál de las siguientes es una función de usuario que el auditor de SI debe revisar? El software generalizado de auditoría facilitara la revisión de todo el archivo de inventario para buscar los rubros que cumplan los criterios de selección. La evidencia obtenida de fuentes externas es por lo general más confiable que la obtenida desde dentro de la organización. estratificación. un método organigrama no proveería detalles de las funciones de primeros los empleados y la prueba de los Durante una revisión de un archivo maestro de clientes. son por lo general altamente confiables. flujo de los datos no coincidirá necesariamente con ningún orden jerárquico o de generación de datos. Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en línea de documentación de red. el auditor de SI puede identificar si ellos están realizando operaciones no compatibles y entrevistando el personal de SI el auditor puede obtener un panorama general de las tareas realizadas. la discusión con la gerencia proveería solo información limitada respecto a la segregación de Comofunciones. un auditor de SI descubrió para detectar duplicaciones seria comparar otros campos comunes. los datos. La prueba realizada por un auditor no puede ser confiable si el auditor no tenia un buen entendimiento del área técnica bajo revisión. Los listados de biblioteca de Una facilidad de prueba integrada aprobados se considera una herramienta útil de auditoría porque usa los mismos prueba no representan los ejecutables y autorizados. lo MáS probable es que un auditor de SI utilice: I Los diagramas de flujo de datos son usados por los Auditores de SI para: I ¿Cuál de las siguientes formas de evidencia para el auditor se consideraría la MáS confiable? I Un auditor de SI revisa un organigrama PRIMARIAMENTE para: I Un auditor de SI está efectuando una auditoría de un sistema operativo de red. Otras funciones serían el acceso del usuario a diversos recursos de anfitriones (hosts) de red. No hay ninguna garantía de que hayan sido elaboradas las solicitudes para todos los cambios. etc. duplicaciones de nombres ya que lo mas probable es que los clientes tengan números de cuenta diferentes La mejor fuente de la cual extraer cualquier ejemplo o prueba de un sistema de información es ¿Cuál de las siguientes sería la MEJOR población de la cual tomar una muestra cuando un programa en para cada combinación. pero no confirmaran nada sobre las transacciones en cuestión. el nombreUn no es el mismo ( debido a variaciones de los nombres ). el el flujo auditor de SI querría Los diagramas flujo de datos seregistros usan como para graficar diagramar y almacenamiento de verificar losrastrean ítem que criterios y no hasta solo una muestra resaltando de ellos. La gerencia no puede estar en conocimiento de las funciones detalladas de cada empleado en el departamento de SI. Un diagrama de flujo de trabajo proporcionaría información sobre las funciones de diferentes empleados. El uso de métodos de muestreo estadístico no pretende seleccionar condiciones específicas. Buscar los números de cuenta duplicados probablemente no hallaría proveería información completa sobre las funciones que ellos desempeñan. sino simplemente para determinar como fueron procesados los datos. Los diagramaspermite de flujo no ordenan los datos en ningúna través orden del jerárquico. El software generalizado de auditoría provee acceso directo a los datos y provee funciones de cómputo. Una prueba integrada (integrated test facility&mdash. contodos ellos se losreúnen datos desde su origen su destino. Para determinar la extensión de la duplicación. Los listados de programa fuente serian intensivos en el tiempo. sino que se usa para seleccionar muestras de de manera aleatoria desdeayudas un archivo.ITF) al auditor de SI probar transacciones sistema en El producción. Esto ayuda al auditor de SI a saber si hay una segregación apropiada de funciones. En o este caso. pero no nombres del cliente.ITF) se considera una herramienta útil de programas para comparar el procesamiento usando datos calculados de manera independiente. como por ejemplo las direcciones Y derechos de usuario proveería información sobre los derechos que ellos tienen dentro de los sistemas numerosas duplicaciones de nombre de cliente que surgían de variaciones en los primeros podría entonces seguidamente llevarse a cabo una revisión para determinar los nombres de los de SI. Las . por lo tanto.que están aprobados y autorizados para procesar los datos de la organización. Una (integrated datos. el auditor de SI usaría: clientes en estas direcciones. Las bibliotecas de producción representan ejecutables pruebas cambia? característica de dato. la autorización del usuario a tener acceso a recursos particulares y la red y las computadoras anfitrionas (hosts) a ser usadas sin acciones o comandos especiales de usuario. el auditor puede evaluar la segregación de funciones.I I I I Observando el personal de SI cuando realiza sus tareas. Basado en las observaciones y entrevistas. Los datos de prueba no serian útiles para detectar la extensión de cualquier el sistema automatizado. Incluso si el auditor de SI debe discutir los hallazgos con el personal de gerencia de la entidad auditada (opción B). y los totales mensuales no resolverían la exactitud de cálculos individuales de impuestos. ¿Cuál de los siguientes es MáS probable que sea el siguiente paso en la auditoría? llevadas a cabo y revisadas. tal como ésta existía en el comienzo de la auditoría. Evaluar los planes de retención de registros para almacenamiento fuera de las instalaciones pone a prueba los procedimientos de recuperación. el reporte de auditoría debe las autoridades judiciales descansaría en la junta directiva y sus asesores legales. los auditores de SI deben recordar que en última instancia ellos son los responsables ante: I Una acción correctiva ha sido tomada por un auditado inmediatamente después de la identificación de un hallazgo que debería ser reportado. no el control de acceso a la documentación de programas. I Un auditor de SI evalúa los resultados de prueba de una modificación a un sistema que trata conEl auditor de SI debería luego examinar casos donde ocurrieron cálculos incorrectos y confirmar cómputo de pagos. La opción C no es parte de una revisión de seguridad. I Un Auditor de sistemas que trate de determinar si el acceso a la documentación de programas está restringido a las personas autorizadas. más pruebas pueden ser predeterminados. El auditor debe: Preguntar a los programadores sobre los procedimientos que se están siguiendo actualmente es útil para determinar si el acceso a la documentación de programas está restringido a las personas autorizadas. ITF puede usarse para incorporar transacciones de prueba en una corrida normal de producción. separados de prueba. lo MáS probable es que: I ¿Cuál de los siguientes es una ventaja de una prueba integrada (ITF)? I ¿Cuál de las siguientes herramientas de auditoría es la MáS importante para un auditor de SI cuando Una herramienta de instantánea (snapshot) es más útil cuando se requiere una pista de auditoría. La revisión visual detallada. el auditor de SI debería obtener una visión general de las funciones que están siendo auditadas y evaluar los riesgos de auditoría y de negocios.I ¿Cuál de los siguientes pasos realizaría PRIMERO un auditor de SI normalmente en una revisión de Durante la planeación. hallazgos y recomendaciones no se haría hasta que todos los resultados fueran confirmados. identificar el hallazgo y describir la acción correctiva tomada. Todas las acciones correctivas emprendidas por el . ello se hace únicamente para obtener acuerdo sobre los hallazgos y para desarrollar un curso de acción correctiva. Los ganchos de auditoría son útiles cuando sólo se necesita examinar transacciones o procesos escogidos. I El MEJOR método de probar la exactitud de un sistema de cálculo de impuestos es: Preparar transacciones simuladas para procesar y comparar los resultados con resultados predeterminados es el MEJOR método para probar la corrección de un cálculo de impuestos. La preparación de reportes. pero no es la persona que tomará las decisiones respecto a los Incluir el hallazgo en el reportepotenciales. Un reporte de auditoría debe reflejar la situación. responsabilidad de reportar acción después de que comenzó la auditoría y antes de que terminara. La opción C es incorrecta porque el director de auditoría de SI debe revisar el reporte que el auditor de SI preparó. I Cuando comunican los resultados de auditoría. Las otras opciones pueden ser objetivos de una auditoría de aplicación pero no forman parte de una auditoría restringida a una revisión de controles. final es una generalmente Si se emprende unaa hallazgos y sus consecuencias Lapráctica opción de D auditoría es incorrecta porque laaceptada. Sin embargo. I Un auditor de SI que realiza una revisión de los controles de aplicación evaluaría: Un control de revisión de aplicaciones implica la evaluación de los controles automatizados de la aplicación y una evaluación de cualesquiera exposiciones resultantes de las debilidades del control. Las opciones A y D son parte del proceso de trabajo seguridad del centro de datos? de campo de la auditoría que ocurre posterior a esta planeación y preparación. Probarficticia la seguridad dede acceso archivos de transacciones datos no resuelve la simultáneamente con la entrada en vivo. El auditor de SI es en última instancia responsable ante la alta gerencia y ante el comité de auditoría de la junta directiva. Después de que los cálculos hayan sido confirmados. Su ventaja es que las pruebas periódicas no requieren procesos seguridad de la documentación de programas. Probar los registros de utilización no resolverá la seguridad de acceso a Una prueba integrada crea una entidad en la base datos apara procesar de prueba la documentación de programas. CIS es útil cuando las se requiere una pista de auditoría? transacciones que reúnen ciertos criterios necesitan ser examinadas. la creación de diagramas de flujo y el análisis de código fuente no son métodos efectivos. El auditor encuentra que el 50 % de los cálculos no coinciden con los totaleslos resultados. es necesaria una planeación cuidadosa y los datos de prueba deben ser aislados de los datos de producción. Los auditores de SI son los facilitadores y el cliente (gerencia y personal) es el participante en el proceso de CSA. La opción B es incorrecta porque el riesgo de muestreo es el riesgo de que una muestra no sea representativa de la población. Las opciones B. cuando: Dada una tasa de error esperado y un nivel de confianza. el auditor de SI debería: La función tradicional de un auditor de SI en una autoevaluación de control (control selfassessment&mdash. sin documentos de trabajo. el auditor debe estar preparado para volver a probar los controles. C y D no deben ser la función del auditor de SI. durante una entrevista de salida. totalmente la magnitud de la exposición. Los documentos de trabajo pueden ayudar al auditor a eliminar la necesidad de volver a probar. En ausencia de documentos de trabajo de auditoría. pasando el auditor de de SI El éxito de la autoevaluación de control (CSA) depende en gran medida de: las responsabilidades de monitoreo de control a los gerentes de línea del área funcional. de SI debe llevar a cabo una evaluación del riesgo para asegurar que: Entender si los controles apropiados requeridos para mitigar los riesgos están instalados es un efecto resultante de una auditoría. están directamente relacionados con el proceso de auditoría y no son relevantes para el análisis Si los auditados no estuvieran de acuerdo con el impacto de un hallazgo. ¿qué método proveerá la MEJOR evidencia de que Para determinar la validez de la orden de compra. sin embargo. un auditor de SI debe volver a probar los controles para Estas funciones son más apropiadas para el cliente.La disposición inicial parámetros está instalada incorrectamente. Las opciones B. Las opciones A y D reflejan yuna falla de parte del auditor de SI para reconocer el efecto combinado de la debilidad de control. en vez de que el auditor de SI realice procedimientos detallados de auditoría. ya que es posible que los auditados no aprecien hallazgo. El éxito de no debe aceptar automáticamente porque los auditados expresen un punto de vista alterno. probar los controles de acceso proveerá la mejor evidencia. Durante un taller de CSA. La meta debe ser explicar a los auditados o descubrir nueva información de que el auditor de SI puede no haber estado en conocimiento. ¿Cómo debe proceder el auditor de SI? elLas debilidades individualmente son de menor importancia. Cualquier cosa que parezca amenazar a los auditados reducirá las El objetivo primario de un yprograma deuna CSArelación es repaldar la función auditoría algunas comunicaciones efectivas establecerá adversa. Cuando se establecen los programas de CSA. La opción C es incorrecta porque el muestreo . Porde la misma interna razón. deAdvertir al gerente local sin reportar los hechos y observaciones ocultaría los hallazgos de los otras partes interesadas. un auditor riesgos y vulnerabilidades. los auditores de SI se convierten en profesionales de control interno y en facilitadores de evaluaciones. I Un auditor de SI debe usar muestreo estadístico y no muestreo de juicio (no estadístico). El análisis de brecha por lo general se haría para En los casos en que hay desacuerdo. que ayuda a un auditor de SI a determinar el tamaño de la muestra y a cuantificar la probabilidad de error (coeficiente de confianza). el auditor de SI debe: comparar el estado real de un estado esperado o deseable. Las opciones B y C están basadas en métodos posteriores al hecho. sin embargo. juntas tienen el depotencial de debilitar sustancialmente la estructura general de control. se están usando contraseñas débiles algunos reportes vitales no se están verificando debidamente. Los riesgos de auditoría son aspectos inherentes de la auditoría. Sin volver a probar el auditor no estará ejerciendo el debido cuidado profesional mientras realiza la auditoría. no de un método de CSA. I En una auditoría de una aplicación de inventario. debería conducir y orientar a los clientes para evaluar su ambiente.I I I I I I I Durante una revisión de implementación de una aplicación distribuida multiusuario. es crítico que se entiendan los Cuando se está desarrollando una estrategia de auditoría basada en el riesgo. Mientras se prepara el informe auditoría. ver su efectividad. un programa de autoevaluación de control (CSA) depende del grado en el que los gerentes de línea asumen la responsabilidad de los controles. respecto al impacto de un de SI elabore y aclare los riesgos y exposiciones. el PRIMER Monitorear el tiempo (A) y los programas de auditoría (D). C y D son características de un método tradicional de auditoría. así como también una capacitación adecuada (B) mejorará la productividad del personal de auditoría de SI (eficiencia y desempeño). paso sería: pero lo que entrega valor a la organización son los recursos y esfuerzos que se están dedicando y que están concentrados en las áreas de mayor riesgo. Para desarrollar una estrategia de auditoría basada en el riesgo.CSA) debe ser la de Un auditor de SI revisando la efectividad de los controles de TI. Para asegurar que los recursos de auditoría entreguen el mejor valor a la organización. y la opción D no sirve las órdenes de compra son válidas? al propósito porque lo que está en la documentación del sistema puede no ser lo mismo que lo que está ocurriendo. el muestreo estadístico es un método objetivo de muestreo. auditor de SI encuentra debilidades menores en tres áreas&mdash. Este riesgo existe tanto para las muestras de juicio como para las muestras estadísticas. es importante que el auditor de riesgo del entorno a ser auditado. encontró un informe de auditoría anterior. Esto determinará las áreas a ser auditadas y la extensión de la cobertura. deber dedereportar/imputabilidad (accountability). Con una política de registros de e-mail bien archivados. que La ventaja de un método de abajo hacia arriba para el desarrollo de políticas organizativas es que las TI se y seevaluar implementan como el resultado decontra evaluaciones de riesgo. pero no es el objetivo primario de la administración del desempeño/performancia. Un proceso de medición del desempeño/performancia de TI puede usarse para optimizar el desempeño/performancia. Es . Esto ayuda al auditor de SI a actuar ante un error o una irregularidad se sale de control. un auditor de SI debe PRIMERO revisar: I Al llevar a cabo una auditoría. medir y administrar productos /servicios. debe tener planes de largo y corto plazo que sean consistentes con los planes más amplios de la organización para alcanzar sus metas. La opción D podría ser parte del plan general pero se requeriría solamente si se necesitara hardware o software para lograr las metas organizativas. un auditor de SI detecta la presencia de un virus. el elemento clave en las descripciones de trabajos es que: las metas la organización. Este método asegura que las políticas no estén en conflicto con la política corporativa general y asegura la consistencia en toda la Para asegurar su contribución a la realización de las metas generales de una organización. Esto permitirá al auditor de SI examinar la funcionalidad y la efectividad del sistema de respuesta. en el caso de un e-mail. adecuación de documentación de red. ¿Cuál debe ser el siguiente paso del auditor de SI? I Los riesgos asociados con recopilar evidencia electrónica es MáS probable que se reduzcan. soportando Desde una estrechos perspectiva descripción y Desde una perspectiva de control. son aspectos demasiado en de su control. el comité debe determinar si los procesos determinar: de TI soportan los requerimientos del negocio. Las opciones A y C son objetivos. el departamento de SI Para soportar las metas de una organización. Esto ayudará a asegurar que se dé a los usuarios acceso al sistema en conformidad con las responsabilidades definidas de su trabajo. Analizar la funcionalidad adicional propuesta. luego esperar la respuesta de ésta. Un modulo integrado de auditoría implica integrar software escrito especialmente en el sistema anfitrión de aplicación de la organización para que los sistemas de aplicación sean monitoreados de manera selectiva. específicamente los diagramas de topología. y se necesitarían planes para delinear cómo se alcanzaría cada uno de los objetivos. en responsabilidad efecto. La opción A se debe emprender después de la opción C. Las políticas a nivel de la empresa y sederivan usaría para el desempeño/performancia líneas base de desempeño/performancia establecidas políticas: anteriormente. el departamento de SI debe tener: organización.I ¿Cuál de las siguientes técnicas en línea es más efectiva para la detección temprana de errores o irregularidades? I Cuando se evalúa el diseño de los controles de monitoreo de red. se desarrollan posteriormente con base en una síntesis de las políticas operativas existentes. y evaluar tanto la estabilidad del software como la complejidad de la tecnología. Para asegurar esto. C y D son ventajas de un método de arriba hacia abajo para desarrollar políticas organizativas. Si esta información no está actualizada. La función de un comité de seguimiento de TI es asegurar que el departamento de SI esté en armonía con la Un comité de seguimiento de TI revisaría los sistemas de información PRIMARIAMENTE para misión y los objetivos de la organización. <br><br>Las otras opciones no están directamente relacionadas con los controles. El auditor de SI no debe hacer cambios al sistema que está siendo auditado. alcance lapara asegurar de que unlostrabajo procesosdebe de TIestablecer están. Lo primero que un auditor de SI debe hacer después de detectar el virus es alertar sobre su presencia a la organización. instantáneas snapshots se usan se requiere de auditoría. y asegurar la eliminación del virus es una responsabilidad de la gerencia. Proveer instrucciones sobre cómo hacer el trabajo y definir la autoridad. Minimizar errores es un aspecto del desempeño/performancia. sin revelar otros registros de e-mail confidenciales. Recopilar datos de desempeño/performancia es una etapa del proceso de medición de Un método de abajo hacia arriba comienza por definir los requerimientos y políticas de nivel operativo. por una: I ¿Cuál de los siguientes es el objetivo PRIMARIO de un proceso de medición de desempeño/performancia de TI? I I I I La técnica del gancho de auditoría implica integrar código en los sistemas de aplicación para el examen de transacciones seleccionadas. asegurar la responsabilidad y tomar decisiones de presupuesto. es posible el acceso a o la recuperación de registros de e-mails específicos. Una facilidad integrada de prueba se usa cuando no es práctico usar El pasoy las para evaluar olos controles de cuando monitoreo de la una redpista debe ser la revisión de la datosprimer de prueba. y destruir e-mails puede ser un acto ilegal. entonces los procesos de monitoreo y la capacidad para diagnosticar los problemas no serán efectivos. Las políticas de seguridad y/o políticas de auditoría no resolverían la eficiencia de recuperación de registros. Las opciones A. resuelve los aspectos gerenciales y de procedimiento del trabajo. pero noo el son el objetivo primario implementando de control en una actividad particular de TI. una auditoría de las políticas de seguridad de TI debe primordialmente concentrarse en si las políticas de seguridad y control de TI y relacionadas respaldan los objetivos del negocio y de TI. podría en ladelrevisión. una de sus funciones es aprobar y monitorear los principales proyectos. y las calificaciones/habilidades indicadas en un résumé/curriculum vitae/hoja de vida. Ellos proveen los objetivos de una auditoríaprocedimientos de las políticas de seguridad. las revisiones independientes y las pistas de auditoría tales como bitácoras de consola. Asegurar una separación de funciones dentro del entorno de procesamiento de la información es una responsabilidad de El cambiode requiere que entre se elimplementen buenos finales procesos de función administración de la gerencia SI. Un plan estratégico proveería un marco para el plan de corto plazo de SI. Otros ejemplos de controles compensatorios son las bitácoras de transacciones. Las opciones B. I ¿Cuál de lo siguiente proveería MEJOR garantía de la integridad del nuevo personal? I ¿Cuál de los siguientes es el MAYOR riesgo de la definición de una política inadecuada para propiedad de datos y de sistemas? I El objetivo PRIMARIO de una auditoría de las políticas de seguridad de TI es asegurar que: I Los objetivos de control de TI son útiles para los auditores de SI. la situación de los planes y presupuestos de SI. El control de cambio de vendedor es un aspecto de outsourcing y debe ser monitoreado por la gerencia de SI. ya que ellos proveen la base para entender: I Al revisar el plan de corto plazo (táctico) de SI. pero no son tan fiables como la investigación de los antecedentes. por lo general no siente que sus puestos de trabajo estén en riesgo y están preparados . las pruebas de razonabilidad. El enlace departamentoyde ejecuten SI y los usuarios es una de las partes cambios. el auditor de SI debe determinar si: I ¿Cuál de los siguientes sería un control compensatorio para mitigar los riesgos resultantes de una segregación inadecuada de funciones? I ¿Cuál de los siguientes es una función de un comité de dirección de SI? I La velocidad de cambio de la tecnología aumenta la importancia de: Una investigación de los antecedentes es el método primario para asegurar la integridad de un prospectivo miembro del personal. verdaderos para implementar controles y pueden o no ser las mejores prácticas. Por ello. C y D son áreas cubiertas por un plan estratégico. hay un mayor riesgo de que uno pueda obtener (se le pueda dar a uno) acceso al sistema cuando de hecho esa persona no debería tener autorización.I El efecto MáS probable de la falta de participación de la alta gerencia en la planeación estratégica de Debe existir un comité de seguimiento para asegurar que las estrategias de TI soporten las metas de la organización. velocidad de cambio tecnológico. La integración de SI y del personal de negocios en los proyectos es un aspecto operativo y debe ser considerado mientras se revisa el plan de corto plazo. implica una mejor probabilidad de que los objetivos del negocio serán debidamente respaldados. proyectos de SI y no debe involucrarse en operaciones de rutina. no a la integridad. Las referencias son importantes y sería necesario verificarlas. pueden no ser correctas. Las reconciliaciones de control de lote son un ejemplo de controles compensatorios. Las técnicas son el medio de alcanzar un objetivo. Revisar si las políticas están disponibles para todos es un objetivo. por lo tanto. Sin una política que defina quién tiene la responsabilidad de otorgar acceso a sistemas específicos. La orientación del negocio debe ser el tema principal al implementar la seguridad. pero la distribución no asegura el cumplimiento. y una política de seguridad es un subconjunto de objetivos de control de TI. Esta condición aumentaría el riesgo de que TI no esté a la altura de la estrategia de la organización. La asignación de autoridad para otorgar acceso a usuarios específicos. La disponibilidad de organigramas con descripciones de las funciones y Un objetivo dedecontrol de TI se define comoincluirse la declaración resultado deseado propósito a ser alcanzado segregación las funciones. La ausencia de un comité de tecnología de información o un comité no compuesto de TI es: altos gerentes sería una indicación de falta de participación de la alta gerencia. outsourcing a la función de SI no está directamente relacionado con la individualesHacer y no deun un comité. El personal en un departamento típico de SI está altamente calificado y educado. bitácoras de biblioteca y la fecha de contabilidad del trabajo. La fianza está referenciando al cumplimiento de la debida diligencia. Las verificaciones de secuencia y los dígitos de verificación son ediciones de validación de datos y la retención de documentación fuente es un ejemplo de un El comité de dirección de SI típicamente sirve como una junta general de revisión para los principales control de archivo de datos. Se debe hacer copia de respaldo de todo el trabajo del empleado despedido. La planeación estratégica está orientada al tiempo y a los proyectos. y se debe notificar El departamento de IS debe considerar específicamente la forma en que se asignan los recursos ¿Qué es lo que un auditor de sistemas consideraría MáS relevante para la planificación de corto plazo a los empleados de la terminación del empleado. No existe ningún acuerdo externos. Llevar a cabo estudios de auto evaluación de control y evaluar las necesidades de hardware no es tan crítico como asignar los recursos durante la planificación de corto plazo para el departamento de IS. pero también debe resolver y ayudar a determinar prioridades para satisfacer las necesidades del negocio. El auditor de SI debe recomendar a la gerencia que: monitoreo. programas de concientización de la seguridad para los empleados puede prevenir la revelación no intencional de información sensitiva a personas ajenas. El dueño de aplicación es responsable de autorizar el acceso a los datos.deben El grupo auditoría analizará o examinará el nivel de de los controles revelación noprocedimientos intencional de información sensitiva. Un diagrama de flujo de trabajo proporcionaría información sobre las funciones de diferentes empleados. Estos reportes proveen los períodos de tiempo durante los cuales la computadora estuvo disponible para requerimiento de acuerdo de nivel de servicio ser utilizada por los usuarios o por otros procesos. La función de garantía de calidad se ocupa de la calidad Todos empleados tenerde conocimiento de la política de seguridad decumplimiento la empresa para prevenir la Un auditor de SI encuentra que no todos los empleados tienen conocimiento de la generallos de los sistemas. Existe una probabilidad de que un empleado despedido pueda hacer mal uso de los derechos de Cuando un empleado es despedido de su servicio. La capacitación es un control preventivo. sin embargo. Los política de seguridad de información de la empresa. información necesitan ser asegurados en términos de disponibilidad. La planeación estratégica pone en movimiento objetivos corporativos o departamentales. inhabilitar el acceso lógico de un empleado terminado es la acción más importante que se debe emprender. en lugar de concentrarse en la tecnología por la tecnología en sí misma. en el corto plazo. Un diagrama de red proveerá información sobre el uso de diversos canales de comunicación e indicará la conexión de los usuarios a la red. Los administradores de sistemas se ocupan de los servicios relacionados con los requerimientos del sistema del grupo de la gerencia del usuario. esto debe efectuarse después de implementar la opción D. y Los acuerdos escritos asistirían a la gerencia a asegurar el cumplimiento de los requerimientos usa tres proveedores separados de red de valor agregado (VAN). por lo tanto. Mientras que la gerencia debe obtener garantía independiente de cumplimiento. esto no se puede lograr hasta que exista un contrato. La planeación ¿Cuál de las metas siguientes esperaría usted encontrar en el plan estratégico de una organización? comprehensiva ayuda a asegurar una organización efectiva y eficiente. Todo el trabajo del empleado terminado necesita ser entregado a un empleado designado. Los planes de largo y corto plazo deberían ser consistentes con los Un auditor de SI revisa un organigrama PRIMARIAMENTE para: . Las bitácoras de sistema son un registro La implementación de controles eficientes en costos en un sistema automatizado es en última sistema automatizado. sin embargo. confidencialidad e integridad. En forma similar. la acción MáS importante es: acceso. Los reportes de utilización documentan el uso de (SLA) para tiempo productivo? equipos de computadora. ello no se puede lograr hasta que exista un contrato. pero esto no debe preceder a la acción en la opción D. Esto ayuda al auditor de SI a saber si hay una segregación apropiada de funciones. puede ayudar al desarrollo de planes de continuidad si se les considera La inactividad de SI como por ejemplo el tiempo improductivo. Los reportes de error de hardware proveen información para ayudar Es responsabilidad de la gerencia de unidad de negocio implementar controles eficientes en costos en un a detectar las fallas de hardware y para iniciar una acción correctiva. El desarrollo y programación de ¿Cuál de las siguientes funciones debe ser realizada por los dueños de aplicación para asegurar aplicaciones son funciones del departamento de SI. El auditor de SI debe concluir que: con políticas. Un aspecto de administrar servicios de terceros es proveer escrito de VAN. Ellos son el mejor grupo en una organización que sabe qué activos de instancia responsabilidad de: de las actividades del sistema. La administración de datos es una función especializada relacionada con los sistemas de administración de base de datos y debe ser ejecutada por los administradores calificados de base de datos. esto no se puede lograr hasta que exista un contrato. y pueden ser usados por la gerencia para predecir cómo /dónde /cuándo se requieren recursos. Las inversiones en TI necesitan estar alineadas con las estrategias principales de la para el departamento de IS? administración. es tratada por los reportes de disponibilidad.I I I I I I I I I Una organización que adquiere otros negocios continúa sus sistemas heredados de EDI. Un organigrama provee información sobre las responsabilidades y la autoridad de personas en la organización. el análisis de sistemas debe ser una segregación adecuada de tareas entre SI y los usuarios finales? efectuado por personas calificadas de SI que tengan conocimientos de SI y de los requerimientos del usuario. Asegurar que se disponga de acuerdos de VAN para revisión. sin embargo. o prácticas escritos. ¿Cuál de los siguientes reportes debe utilizar un auditor para verificar el cumplimiento de un recursos críticos de TI. I ¿Cuál de los siguientes se encontraría normalmente en los manuales ejecución de aplicaciones? Los manuales de ejecución de aplicaciones deberían incluir acciones que deben ser emprendidas por un operador cuando ocurre un error. como un control preventivo y no son efectivas ya que los usuarios podría aún así cargar software desde otras estaciones de trabajo que tengan disco duro. login permite al administrador de sistema tener un acceso ilimitado a los recursos del sistema. una política de seguridad de información debería llegar a todos los miembros del Cuando se ha diseñado una política de seguridad de información. pero no exclusivamente por los gerentes de SI. La política de seguridad de información debería ser escrita por los gerentes de unidad de negocios incluyendo SI. lo MáS importante es que la política de software. o Las estaciones de trabajo sin disco duro actúan función debería ser realizada por el personal almacén de ingreso de órdenes. C y D sería recomendaciones subsiguientes una vez que se haya establecido la autoridad. I I I I I I I De las funciones siguientes.I El paso inicial para establecer un programa de seguridad de información es: Una declaración de política refleja la intención y el respaldo brindado por la gerencia ejecutiva para una seguridad apropiada y establece un punto de inicio para desarrollar el programa de seguridad. Los los activos de información reside en: propietarios de sistema típicamente delegan la custodia cotidiana al grupo de entrega /operaciones de sistemas y las responsabilidades de seguridad a un administrador de seguridad. ¿cuál es la función MáS importante que debe realizar la administración En un ambiente de outsourcing. ################################################################################# Es imperativo que se establezcan procedimientos formales escritos de aprobación para establecer la responsabilidad de rendir cuenta. es por eso que ésta debería ser revisada por otro que no sea el administrador de sistema. Este ¿Cuál de las siguientes funciones sería una preocupación si se efectuara junto con administración de actividad que se lleva a cabo una sola vez. Si fuera La verificación periódica de los sería el método efectivoLade identificar los necesario. la compañía depende del desempeño del proveedor del servicio. Esto es verdad tanto para los niveles del gerente de SI como para los ############################ niveles superiores de la gerencia. pero no detectarán si efectivamente ha ocurrido. Las políticas establecen las reglas sobre la carga Para ser efectiva. propietario designado que tome las decisiones sobre clasificación y derechos de acceso. es crítico que se monitoree el desempeño del proveedor de outsourcing para asegurar que éste preste a la de TI cuando se ha dado un servicio para realizarse por outsourcing? compañía los servicios que se requieran. Los propietarios. mientras que los honorarios de renegociación son por lo general una Un administrador de sistema realiza diversas funciones usando el admin/raíz o un login equivalente. esto debería ser hecho por discos alguien duros en el área de finanzas o de más contabilidad. El software antivirus no identificará necesariamente el /modificar el cuadro de cuentas y sus asignaciones es responsabilidad del departamento de finanzas y no es una software ilegal a una red? software que ilegal a menos que el software contengadeun virus. Otorgar ################################################################################# al administrador de sistema. Actualizar la política de seguridad de información es importante La gerencia debería asegurar que todos los activos de información (datos y sistemas) tengan un La responsabilidad de rendir cuentas del mantenimiento de medidas de seguridad apropiadas sobre pero no asegurará su divulgación. El mantenimiento de las reglas de acceso. Participar en el diseño de sistemas es un subproducto del monitoreo del desempeño del proveedor de outsourcing. Los períodos contables no deberían ser cambiados a intervalos regulares. Los documentos fuente y el código fuente son irrelevantes para el operador. El único sistemas? control sobre las actividades del administrador de sistema es la pista de auditoría del sistema. de las períodos funcionescontables de bibliotecario y el monitoreo pueden ser asignados El establecimiento es una dedelasdatos actividades críticas del de desempeño la función de finanzas. sino que se deberían establecer de manera permanente. Por esta razón. Almacenar la política de seguridad fuera del sitio o en un lugar seguro puede ser aconsejable de seguridad de información sea: pero de poco valor si su contenido no es conocido por los empleados de la organización. siguen estando obligados a rendir cuenta del mantenimiento de medidas de seguridad apropiadas. necesidad de crear ¿Cuál de los siguientes procedimientos detectaría en forma MáS efectiva la carga de paquetes de paquetes de software ilegal cargados a la red. A pesar de que los diagramas de flujo de datos pueden ser útiles. acceso a esta función al personal en el almacén y en el ingreso de órdenes podría ser a causa de una falta ############################ de políticas y procedimientos apropiados para la segregación adecuada de funciones. sin embargo. . personal. Las opciones A. El requerimiento de registrar las entradas por un período contable cerrado es un riesgo. los diagramas detallados de programa y las definiciones de archivo no lo son. El pago de las facturas es una función financiera que se haría por requerimientos contractuales. La falta de control en esta área podría tener como resultado que los referencia de la industria proveen un medio de determinar el nivel de desempeño provisto por programas de aplicación sean modificados de manera que manipulen los datos. no es viable ha importantes. Estos estándares. los estándares de los esperados? /puntos de referencia de la industria. Es imperativo mejorados. La probabilidad Las vacaciones requeridas de una semana o más de duración en la que alguien que no sea el empleado de fraude a causa de dichos cambios es remota ya que estos cambios afectan los datos futuros y todos los Muchas organizaciones requieren que todos los empleados toman una vacación obligatoria de una regular realice la función del puesto de trabajo es a menudo obligatoria para las posiciones semana o más para: campos relacionados para todos los registros en la base de datos. I El desarrollo de una política de seguridad de SI es resposabilidad de: I ¿Cuál de los siguientes programas es MáS probable que una política sana de seguridad de información incluiría. Los estándares /puntos de los programas originales. pero probablemente no serán incluidos en una declaración de política de seguridad de SI. la junta directiva. puede ser difícil establecer el verdadero propietario de los datos y de las aplicaciones. Ellos se ¿Cuál de las siguientes situaciones aumentaría la probabilidad de fraude? asegurar que los controles de los cambios a los programas de producción sean tan estrictos como para concentran en áreas tales como la gente. más responsabilidad del auditor deen SI a El la personal alta gerencia ################################################################################ La y asociaciones de operaciones cambios cronogramas de sólo afectará la función programación de los ############################# sobre el riesgo que queimplementa implica hacer quea los el administrador delotes seguridad realice una de lotes. C y D todas podrían ser beneficios de la organización provenientes de una política de . detección y monitoreo son todos aspectos de seguridad de información. el cambio. y si. no teniendo ninguna autoridad en el enmarcado de la política. Los programas de corrección. modificaciones eliminación de campos o de tablas en la base de datos. Esto reduce la oportunidad de cometer actos indebidos o ilegales. Las opciones A. La gerencia de calidad es el medio por el cual los procesos basados en el departamento de SI son controlados. las actividades de la empresa se han desviado de los niveles planeados. I ¿Cuál de los siguientes consideraría un auditor de SI que es MáS importante cuando se evalúa la estrategia de una organización? Que: La planeación estratégica pone en movimiento objetivos corporativos o departamentales Tanto los planes estratégicos a largo plazo como a corto plazo deberían ser consistentes con los planes más amplios de la organización y los objetivos del negocio para alcanzar estas metas. El auditor de SI no debería participar en el cambios a las estructuras de datos. Los métodos de análisis proveen un mecanismo. monitorear y hacer cumplir las reglas de Una política de seguridad de SIy autorizado. medidos y Los programas de producción se usan para procesar los datos reales y corrientes de la empresa. Estos son usados únicamente estadísticas de referencia se pueden obtener de los grupos de vendedores usuarios. El departamento de SI es responsable de la ejecución de la política. Por lo tanto. La respuesta A es incorrecta ya que la gerencia de línea preparó los planes. los procesos. etc. El comité de seguridad también funciona dentro de la amplia política de seguridad definida por la junta directiva. y durante este tiempo puede ser posible descubrir cualquier actividad fraudulenta que estuviera ocurriendo.I La responsabilidad y las líneas de reporte no pueden siempre ser establecidas cuando se auditan sistemas automatizados ya que: A causa de la naturaleza diversificada tanto de datos como de sistemas de aplicación. Estos métodos determinar cuándo. y su relación. la seguridad. o aplicaciones se les exige que implementen cambios en los programas de prueba. de soporte primera y profesionales. Esta es una violación de la separación de funciones. para manejar las intrusiones sospechosas? I I I I A diferencia de otras políticas corporativas. las prácticas de gerencia financiera y el logro de las metas. el marco de la política de seguridad de sistemas es responsabilidad de la dirección general. Esto no afecta los datos vivos. Las opciones A. Esto se requiere para que la reorganización de la base de datos permita procesamiento. la planeación de la capacidad y del crecimiento. y noimportante impactan directamente el procesamiento vivoes deadvertir los datos. C y D son funciones de un administrador de base de datos administrador de base de datos (DBA). es más probable que esboce un programa de respuesta para seguridad quesana la gerencia ha establecido manejar las intrusiones sospechosas. A los administradores de base de datos se les exige que implementen operaciones. A los programadores de entornos similares de instalaciones de procesamiento de información. El administrador de la seguridad es responsable de implementar. Los principios de gerencia difieren dependiendo de la naturaleza del departamento de SI. nombres de datos. I Un administrador de datos es responsable de: Un administrador de datos es responsable de definir los elementos de datos. por el cual la gerencia de SI puede determinar cuándo y si las ¿Cuál de lo siguiente proveería un mecanismo por el cual la gerencia de SI puede actividades de la organización se han desviado de los niveles planeados o de los esperados. adiciones. publicaciones de la industria en el desarrollo. o incluyen los presupuestos de SI. LAN puede también ser responsable de la administración de seguridad del LAN. El DBA no necesita ser un programador de sistemas competente. fecha. Un administrador de base de datos es responsable de: física. objetivos. La gerencia de SI y el administrador de datos son responsables de establecer normas operativas para el diccionario de datos. Definir la propiedad de datos recae en el jefe del departamento de usuario o en la alta gerencia si regularmente. La opción B no es una responsabilidad de este comité sino la responsabilidad del administrador de seguridad. debería considerar factores tales como las relaciones personales. el administrador de datos incorrectos. Sin embargo. Las necesidades del . Esta evaluación ################################################################################# La opción D no es tan importante como la opción A. Endatos las organizaciones pequeñas. autoridad y responsabilidad. Establecer reglas básicas para asegurar la integridad y la seguridad de los datos en línea con la política corporativa de seguridad es una función del administrador de Los planes estratégicos proveen la base para asegurar que la empresa cumpla sus metas y La participación de la alta gerencia es MáS importante en el desarrollo de: seguridad. Sobrescribir o borrar las cintas puede ocasionar errores magnéticos (considerar que son obsoletas). cambios de programas y documentación se adhieran a las normas establecidas. en una hayan sido alterados. Inicializar las etiquetas de cintas Es importante llevar las actas detalladas de los comités de dirección para documentar las decisiones y las Un comité de dirección de SI debe: podría significar la reutilización potencial en algunos casos. esto podría ser impráctico para grandes cantidades de datos. Un dígito verificación es agregado a los datos para de asegurar que los datos no responsabilidades de usuario final. La opción D es incorrecta porque para Un administrador de base de datos oessoftware. La verificación de llave o verificación uno a uno rendirá el grado más alto de confianza de que los datos ingresados están libres de error. El auditor de SI debería determinar que las responsabilidades de la función de administración de base de datos no sólo están bien definidas sino también garantizan que el administrador de base de datos (DBA) se reporte directamente al gerente de SI o al ejecutivo para proveer independencia. porque esta acción ¿Cuál de las siguientes es la MEJOR forma de manejar cintas magnéticas obsoletas antes de disponer impide la divulgación no autorizada o accidental de información. La independencia debería ser constantemente evaluada por el auditor y la gerencia. El administrador de LAN puede reportarse al director de la IPF o. La opción A es incorrecta porque sólo la gerencia principal o los niveles altos del personal deben ser miembros de este comité debido a su misión estratégica. responsable de crear debe y controlar la base de datos pero lógicano y aprobar una adquisición de hardware un vendedor ser invitado a las reuniones. normas y lineamientos están todos estructurados para soportar el plan estratégico general. El hecho que el empleado haya trabajado en SI por muchos años no puede por sí mismo asegurar la credibilidad.I I I I I El grupo de garantía de calidad (quality assurance) es típicamente responsable de: La mejor forma de manejar las cintas magnéticas obsoletas es desmagnetizarlas. pero esto sólo aplicaría para aquellos que tengan dígito verificador. El auditor de SI debería determinar que: I El grupo de garantía de calidad es típicamente responsable de asegurar que los programas. La segregación de funciones de ingreso de datos proveniente de la verificación de ingreso de datos es un control adicional de ingreso de datos. Las políticas de SI. inhibiendo así la integridad de datos. Si un dígito de verificación es marcado por error. iniciales del empleado /identidad del usuario y progreso de diversas tareas de preparación y verificación de datos. los datos son comunes para la organización. y la opción D es responsabilidad de responsabilidad de datos. procedimientos. y también impide que las cintas de ellas? obsoletas vuelvan a ser utilizadas. Mantener una bitácora /registro detallando el tiempo. El DBA no debe reportarse ni a la gerencia de procesamiento de operaciones de datos ni a la gerencia de desarrollo de sistemas. actividades del comité de dirección de SI. los intereses financieros y previas ############################ asignaciones y responsabilidades del puesto de trabajo. La opción A es la responsabilidad del grupo de control de datos. provee un rastro Un administrador de de LAN no debería tener responsabilidades programación pero originales puede tener de auditoría. al gerente de usuario final. La participación de la alta gerencia es crítica para asegurar que el plan logra de manera adecuada las metas y objetivos establecidos. I ¿Cuál de los siguientes controles de ingreso de datos provee la MAYOR garantía de que los datos ingresados no contienen errores? I Un administrador de LAN estaría normalmente restringido de: I Un auditor de SI está revisando la función de administración de base de datos para determinar si se ha hecho la disposición adecuada para controlar los datos. y la junta directiva debe ser informada a su debido tiempo. la opción B es responsabilidad de operaciones de computadora. esto conduciría a aceptar operación descentralizada. I Una probable ventaja para una organización que ha efectuado outsourcing a su procesamiento de servicios de datos es que: I Un auditor de SI debería preocuparse cuando un analista de telecomunicación: I I I I I I Outsourcing es un acuerdo contractual por el cual la organización entrega el control sobre una parte o sobre la totalidad del procesamiento de información a una parte externa. analista de sistemas. . debido a que el de sistemas es parte del equipo significativo y espodría un aspecto clave que debe ser definido en un contrato deanalista outsourcing. evaluar el impacto de la carga de red o los tiempos de respuesta de las terminales y las velocidades de transferencia de datos de red (opción C) y recomendar procedimientos y mejoras de balanceo de red (opción D). C es la única posible que tiene un impacto.e. lo cual sería una obligación contractual defina: específica.programador ciudadano&quot. la metodología de desarrollo no debería de real preocupación. ya personal adicional.. en efecto requiriendo que un tercero haga los cambios. porque éstos tienen el derecho de hacer todo o cualquier cosa) que tiene a lasde herramientas de respaldar desarrollo elpoderosas hacer todos los aspectos planacceso estratégico TI existe para plan de puede negocios de la organización. especificar quién es el dueño de la propiedad intelectual (i. ha sido dispuestaEste y aprobada código. El auditor de SI debería recomendar procesos que ¿Cuál de los siguientes sería incluido en la política de seguridad de SI de una organización? detecten los cambios a la fuente de producción y al código de objeto. intelectual siglas de los términos en siendo procesada. organizaciones de SI debe buscar si procesos alternativos De Los las ¿Cuál de lo siguiente debería recomendar el auditor de SI? niveles de QA nunca deben ser opciones. Un programador ciudadano (nombre relacionado con &quot. el auditor de SI necesitaría primero familiarizarse con el plancontroles de compensatorios buenos podrían monitorear /controlar estas actividades. desarrollo. debido a la falta de controles compensatorios? que desarrolla /diseña el software. Sólo los evaluar el plan estratégico de TI. normas acordadas. Las oficinas proveedor? prestigiosas de servicio tendrán un plan de continuidad de negocio bien diseñado y probado. técnicas de compresión de base de datos.ciudadano&quot. A. ello seseparación puede detectar inmediatamente con la ayuda Mientras que se preferiría la estricta de funciones se cumpliera y que de se controles reclutara En una organización pequeña. y procedimientos de respaldo y recuperación de datos establecidos e implementados para asegurar la disponibilidad de base de De las opciones. que debería incluirse desarrollo.. Esto es verdad incluso si los activos no residen en las premisas inmediatas. disponibilidad y seguridad puedan ser afectadas. asegurarán que estas funciones hayan sido realizadas efectivamente. lo cual no puede ser práctico en una organización pequeña. implementación).. Los controles compensadores negocios. Un analista de sistemas puede realizar las otras funciones. Aún si un analista afectara algunas funciones en estosqueroles. comprobación. como por ejemplo comparaciones de La política de que seguridad provee puedan la estructura de la por seguridad. esta práctica no es siempre posible en las la situación lo exige. que los niveles pequeñas. de garantía El de auditor calidad podrían ser afectados ésta no satisface las recomendados. Monitorear el desempeño de los sistemas y rastrear los problemas como un resultado de los cambios de programa (opción A) Para asegurar la aprobación de la gerencia de las actividades de administración de base de datos y para ejercer ¿Cuál de los siguientes es un control sobre las actividades de administración de base de datos? pondría al analista en una función de auto monitoreo. Las responsabilidades de un analista de telecomunicaciones incluyen requerimientos de carga de red en términos de volúmenes corrientes y futuros de transacciones (opción B).I ¿Es apropiado que un auditor de SI de una compañía que está considerando hacer outsourcing de La responsabilidad primaria del auditor de SI es asegurar que los activos de la compañía estén siendo su procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada salvaguardados. Las actividades de administración de base de datos incluyen entre otras. Paramientras Un auditor de SI que revisa el plan estratégico de TI de una organización debería PRIMERO revisar: El desarrolla software (diseño. un empleado realiza operaciones de computadora y. funcionalidad. se debe desalentar a un analista de sistemas para que no haga el rol de QA. El contrato debe. Blos y Ccambios están más detalladas quede lo producción. Sin embargo. como periódicamente.Las noopciones detectarían a las bibliotecas La opciónenDuna estápolítica. par los cambios ser amplia revisados un tercero sería un por la alta una definición de las autorizadas parade otorgar acceso y labibliotecas base para de proceso degerencia. debería haber una revisión de supervisión de los registros de acceso.personas que implica el registro cambios en las otorgarlo. los programas aplicación). control sobre la utilización de herramientas de base de datos. La opción A. como se sugiere en la Opción B. programa modificaciones. la propiedad tendrá un costo ¿Cuál de las siguientes funciones representaría un riesgo si se combinara con la de un inglés) ya que obstaculizar la independencia. la información que está Un analista de sistemas no debe derealizar tareas La de propiedad garantía dede calidad (QA. sin embargo. puntos de verificación de base de datos. Esto se hace con frecuencia para adquirir recursos o experiencia adicionales que no se obtiene desde el interior de la organización. control Incluye compensatorio. cuando compensadores. el hardware y el control de acceso de software generalmente es irrelevante mientras la Un auditor de SI que revisa un contrato de outsourcing de las instalaciones de TI esperaría que éste datos. De manera similar. El mejor ejemplo es un &quot. I I I I I Además de ser una buena práctica. pero no son tan importantes como los requerimientos del contrato en cuanto a una recuperación de desastre. ¿Un auditor de SI que revisa la operación externalizada debe estar MáS preocupado por cuál de los hallazgos siguientes? I De los siguientes. I Un auditor de SI que realiza una revisión de los controles generales de las prácticas de gerencia de SI relativas al personal debería prestar particular atención a: I Cuando se realiza una revisión de los controles generales es importante que un auditor de SI preste atención al tema de la segregación de funciones. Las clasificaciones del personal y las políticas de compensaciones justas puede ser una problema moral.documento&quot. una influencia sobre el proveedor de servicio. Las operaciones de TI para una gran organización han sido externalizadas (outsourced). La formación del personal es deseable. servicios independiente (ISP)? aspectos que serían de preocupación para el auditor de SI. como ejemplo TI. monitoreo y: La falta de una provisión de recuperación de desastre presenta un riesgo importante de negocio. Incorporar una disposición de este tipo en el contrato proporcionará a la organización que realiza el &quot.del considerando tanto litigios activamente cumplimiento de losde términos contrato para loslosservicios Una organización ha hecho un outsourcing de su desarrollo de software. reconstrucción y reutilización. que están siendo contratadas. negociación del acuerdo contractual ya habría yocurrido y por lo general losuna mensajes mismos. La lista de control de accesos (ACL) no se haría sin una clasificación coherente de los recursos. ¿qué es lo MáS importante cuando se evalúan los servicios prestados por un proveedor de servicios de Internet (ISP)? Un contrato de nivel de servicio provee la base para una evaluación adecuada del grado en el que el proveedor está satisfaciendo el nivel de servicio acordado.outsourcing&quot. Todo el correo electrónico generado en el hardware de una organización es propiedad de la organización y una política de correo electrónico debeelresolver la retención mensajes. C y D no serían la base para una evaluación independiente del servicio. que está afectada por prácticas de vacaciones /feriados. Las opciones B. las leyes y regulaciones pueden requerir que una organización mantenga información que tenga un impacto en los estados financieros. La política debería también ocuparse de la destrucción de correos externalizados (outsourced) es responsabilidad de la gerencia de TI. ejecución de políticas. Verificar las referencias es un medio de obtener una verificación independiente de que el vendedor puede efectuar los servicios que dice que . La documentación. El etiquetado de los recursos no puede hacerse sin primero determinar las clasificaciones de los recursos. no un problema de control. Las políticas y el cumplimiento de vacaciones obligatorias puede variar dependiendo del país y de la industria. La prevalencia de demandas en las que la comunicación de correo electrónico es mantenida en el mismo sentido que el formulario oficial de clásico &quot. ################################################################################ Mover los servidores puede ocasionar una interrupción del negocio y debe posponerse hasta que la recuperación de desastre sea incluida en el contrato de outsourcing. facilitaría la recuperación. externa. Las referencias de otros clientes proveerían una revisión y en la solicitud de propuesta (RFP) cuando SI está adquiriendo servicios de un proveedor de verificación independiente. I La implementación de controles de acceso requiere PRIMERO: El primer paso para implementar un control de accesos es un inventario de los recursos de SI. C y D son problemas que deben ser resueltos por el proveedor de servicio. Las opciones A. Las opciones A. El pago de facturas es una es responsabilidad de la gerencia de TI de la organización? electrónicos después de un La tiempo especificado para proteger la naturaleza la confidencialidad de responsabilidad de finanzas. la implementación y el cumplimiento son otros pasos adicionales. Considerar el tema delegal la yretención en la política de por correo electrónico es responsabilidad compartida del departamento de otros departamentos. pero no tan crítico como El auditor de SI debería buscar una verificación independiente que el ISP pueda realizar las tareas ¿Un auditor de SI debería esperar que cuál de los siguientes elementos sean incluidos una segregación apropiada de funciones. de procedimientos y procesos que sigue el ISP &ndash. hace de la retención de correspondencia electrónica una necesidad. En una organización donde se ha definido una línea base (baseline) de seguridad de TI el auditor de El auditor debe primero evaluar la definición del nivel mínimo de línea base para SI debe PRIMERO asegurar: asegurar la idoneidad de los controles. C y D deben ############################# considerarse durante el desarrollo de las provisiones viables de recuperación de desastre y después que el traslado de servidores sea pospuesto. que es la base para la clasificación. ¿Cuál de los siguientes Administrar/Gestionar conocidos como los impredecibles. Una política exhaustiva y efectiva de correo electrónico debería resolver los problemas de estructura de correo electrónico. estándares y procedimientos organizacionales y luego revisar el acatamiento de estas políticas. Los routers permiten que a los paquetes se les permita o se les niegue acceso basado en las direcciones del remitente y del destinatario y en el tipo de paquete. aseguran la exactitud. que pueden surgir son conjuntos de equipos de computación y de red usados para permitir que las comunicaciones fluyan hacia El objetivo de control de concurrencia en un sistema de base de datos es: cuando dos procesos de actualización acceden al mismo elemento de dato al mismo tiempo. Un diccionario de datos En un sistema de administración de base de datos (DBMS) la ubicación de los datos y el método de integridad y la consistencia de los datos mantenidos en la base de datos. Los controles de calidad. Una compañía está implementando un protocolo dinámico de configuración de anfitrión Dado el acceso físico a un puerto. Las otras opciones no (Dynamic Host Configuration Protocol-DHCP). Esto provee redundancia en caso de falla de uno de los discos. La integridad que están destinados a otro dispositivo. las contraseñas impiden la revelación inadvertida o no autorizada de datos de la base de datos. si el gateway es ############################ afectado. La prueba de integridad de ¿Cuál de los siguientes reduce MEJOR la capacidad de un dispositivo de capturar los paquetes que dispositivo al que está dirigido. todos los mensajes estarían expuestos. controles de acceso restringen la actualización de la base de datos a los usuarios autorizados. La proveyendo redundancia en caso de falla de un disco o de falla de una tarjeta de controlador.I I II II II II II II II Cuando se revisan las estrategias de SI. C y D soporta los objetivos de negocio de las organizaciones determinando si SI: son métodos efectivos para determinar si los planes de SI están en armonía con los objetivos del negocio y con las estrategias de la organización. por la existencia de todas las claves extrañas en las tablas duplexación de disco (disk duplexing) hace uso de más de un disco con dos controladores separados. cualquiera puede conectarse a la red interna. (partitioning). En un gateway WAP. Todas las operaciones en los dos discos se realizan de modo que cada disco ¿Cuál de los siguientes impedirá tuplas colgantes (dangling tuples) en una base de datos? primaria en la otra tabla. Si esta condición no fuera satisfecha. Por lo tanto. estándares y procedimientos específicos. el auditor de SI puede determinar MEJOR si la estrategia de SIDeterminar si el plan de SI es consistente con la estrategia de la gerencia relaciona la planificación de SI/TI con los planes del negocio. entonces el resultado sería una tupla suspendida. el auditor de SI debería evaluar las políticas. los indices independientes deben también de procesamiento. verificación cíclica es la técnica de control para la verificación regular de datos acumulados en un archivo Los switches están en el nivel más bajo de seguridad de red y transmiten un paquete al contra documentación fuente autorizada. las organizaciones necesitan adoptar la infraestructura apropiada. éste asocia los datos con los discos. privacidad e integridad e impidede que los una mensajes afectados por escuchasparalelo es el esquema de división Una parte esencial diseñar base desean datos para procesamiento Para maximizar el desempeño (performance) de una base de datos grande en un ambiente paralelo (eavesdropping). Los filtros permiten cierto aislamiento básico de tráfico de de relación se realiza a nivel de registro y es asegurada calculando y verificando campos específicos. limitando la revelación de la información del cliente. red basado en las direcciones de destino. El procesador de lenguaje de definición de datos permite al administrador de base de datos (DBA) crear/modificar una definición de datos para mapear entre los esquemas externos y los . Los afuera de la organización y para restringir las comunicaciones que fluyen hacia adentro de la organización. basado en una clave hash. Hashing es un método usado para dividir índices. ¿cuál de los siguientes se usa para separar los índices? estar divididos para maximizar el desempeño/performancia. Dado que existen las siguientes condiciones. por ejemplo. Después de entender los requisitos legales y regulatorios. Los firewalls Los controles de concurrencia impiden problemas de integridad de datos. contiene un índice y la descripción de todos los elementos almacenados en la base de datos. SSL protege los mensajes de sniffing en la Internet. El mirroring de La integridad de referencia asegura que una llave/clave extraña en una tabla sea igual a cero o al valor de una disco usa dos discos idénticos. ¿cuálpresentan la exposición que presenta el acceso a un puerto. los mensajes encriptados/cifrados provenientes de los clientes deben ser ################################################################################# desencriptados/descifrados para transmitir a la Internet y viceversa. No hay pruebas de integridad cíclica. es decir. originales. tales como ediciones. y a los controles. la Un sistema de directorio describe la ubicación de los datos y el método de acceso. Para asegurar que la organización esté cumpliendo con los aspectos de privacidad. DHCP provee conveniencia (una ventaja) para los usuarios de laptop. Las opciones A. un auditor Para asegurar que una organización está cumpliendo con los requerimientos de privacidad. Para cumplir con los requisitos de SI debería PRIMERO revisar: legales y regulatorios. el auditor de SI debería tratar primero los requisitos legales y regulatorios. Por cada tupla en una tabla que tenga una clave referenciada /extraña. Los tener acceso a los datos es provista por: metadatos ('datos sobre datos') son los elementos de datos requeridos para definir un almacén de datos a nivel de toda la empresa. La tupla correspondiente en otra tabla. WTLS provee autenticación. Compartir las direcciones de IP y la existencia de un firewall representa la MAYOR preocupación? pueden ser medidas de seguridad. Esto reduce la capacidad de un dispositivo de capturar los paquetes están destinados a otro dispositivo? dominio asegura que un elemento de dato tenga un valor legítimo en el rango o conjunto correcto. Como las grandes bases de datos están indexadas. La división/partición de discos crea unidades lógicas en el único disco para administrar mejor el contenido. debe haber una sea una imagen espejo de la otra. ¿cuál de las siguientes técnicas de control se usa para inspeccionar la actividad de los usuarios conocidos o desconocidos? II Verificar si hay líneas base (baselines) de software autorizado es una actividad realizada dentro de cuál de las siguientes? II Para determinar qué usuarios pueden tener acceso al estado de supervisión privilegiado. documentación relacionada y elacceso hecho de queutilerías éstos estén reduce el impacto. sin reportes de niveles de servicio. es que los usuarios pueden: a lectura de la información El primitivoestán SQLestablecidos era solamente lenguaje de consulta . de usuario. INSERT. Nies lanecesario red. ¿Cuál documentación de red. Revisar los cambios para asegurar que estén respaldados seguridad. La administración de riesgos implica identificación de riesgos.[Nota: si los parámetros de un manera incorrecta. la herramienta en sí misma no pretende proveer controles de de cambios no sea un control efectivo. La disponibilidad no mejorará. sino que la velocidad de intercambio de datos podría ser más alta. La administración de proyectos se encarga del cronograma. de base de datos. ¿cuál de los siguientes debe revisar un auditor de SI? II II La administración de la configuración da cuenta de todos los componentes de TI. Los sistemas de autenticación pueden proveer en todo el ambiente/entorno. En un ambiente/entorno en red. ahora. la PRINCIPAL preocupación de un auditor de SI. sin embargo. La opción B tendrá aún el impacto adverso. El software de control de acceso es corrido bajo el sistema operativo. la autorización del usuario a tener acceso a recursos particulares y la red y las computadoras anfitrionas (hosts) a ser usadas sin acciones o comandos especiales de usuario. administración de recursos y rastreo del progreso del desarrollo del software. La opción A no es cierta porque la comunicación misma no mejorará. Si los parámetros están fijados de Tener a la la base de datos podría proveer a las de autorizados la base de no datos. sin embargo. Las opciones B. es posible que el monitoreo herramientas de encripción y otras. por documentos apropiados. Tanto los archivos de registro de acceso a sistemas como los registros de violaciones de acceso son detectivos por naturaleza. de banda a tráfico específico. La revisión de los archivos de configuración del sistema para las opciones de control usadas mostrarían cuáles usuarios tienen acceso al estado de supervisión privilegiado. hay otras herramientas que generarán Cuando se revisan los parámetros del sistema. VPNs. Las herramientas de QoS que muchas portadoras/compañías telefónicas están usando La principal preocupación es encontrar el balance entre seguridad y desempeño/performancia. si no se establecen los parámetros conforme a reglas del negocio. códigos . antes de proveer acceso a los sistemas. Otras funciones serían el acceso del usuario a diversos recursos de de las siguientes es una función de usuario que el auditor de SI debe revisar? anfitriones (hosts) de red. control sobre la falla o error de comunicación del componente. debería ser que: embargo. Otros controles relacionados son verificaciones de loop /eco para detectar errores de línea. En un sistema cliente-servidor. C y D son ejemplos de funciones de sistemas operativos de red entre las cuales están incluidas La creando el alguna forma duplicación en los componentes de red. UPDATE). es también un control de detección. etc.del aunque ha los parámetros. siguientes: soportar acceso de de terminales a anfitriones (hosts) remotos. es realizada Para tener por acceso la capaa ################################################################################# La ############################ una transporte. demoras o duplicación de datos. de resecuenciación Lo que es crítico de loses. Esto sirve como un control de detección. El utilizar SQL. sólo provee acceso La restricción del acceso a los parámetros asegura que solamente el personal autorizado pueda tener acceso a sistema. los cambios en una pista de auditoría y revisarla periódicamente es un control de detección. Registrar no proven reportes de niveles de servicio. como por ejemplo un enlace. ni las que capas un usuario de sesión esté oautenticado aplicación mediante se encargan unadeidentificación la resecuenciación. las redundancia. Incluso cuando QoS es integrada con firewalls. verificaciones de paridad. la restricción acceso conservado el nombre (query)-permite modificar la base de datos (DELETE. en lugar de a través de la aplicación.II II II II II Los dispositivos de monitoreo de red pueden usarse para inspeccionar actividades de usuarios conocidos o desconocidos y pueden identificar direcciones de clientes. manejar la transferencia de ¿Cuál de los siguientes es un control sobre las fallas/errores de comunicación de componentes? un ruteador un(hosts). lo cual puede maneraacceso incorrecta. Las técnicas de encripción/cifra de datos pueden ayudar a proteger datos sensitivos o privados contra acceso no autorizado. un plan de acción. análisis de impacto. tener acceso remoto a una base de datos no hace función una diferencia. que pueden asistir en encontrar evidencia de acceso no autorizado. sirviendo de ese modo La principal función de QoS es optimizar el desempeño/performancia de la red asignando prioridad a las como un control preventivo. Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en línea de Un auditor de SI está efectuando una auditoría de un sistema operativo de red.paquetes qué es posible (segmentos) o qué se recibidos hace a través en desorden de este acceso. switchy para prevenir pérdidas. incluyendo software. Las estaciones de trabajo sin disco impiden que el software de control de acceso sea evadido. atañe a esa prima versión de SQL]. Las administración de problemas registra y monitorea los incidentes. Un beneficio de Calidad de Servicio (QoS) es que: aplicaciones del negocio y a los usuarios finales a través de la asignación de partes dedicadas del ancho facilidades/instalaciones lógicas que pueden diferenciar entre los usuarios. anfitriones comunicaciones entre usuarios. El MAYOR riesgo cuando los usuarios finales tienen acceso a una base de datos al nivel de su actualizar la base de datos sin una pista de auditoría y sin usar la aplicación. es un archivos entre(router). La durabilidad negativo falso sobre las debilidades significa que las debilidades de control en la red no Después de instalar una red. La copia ¿Cuál de los siguientes soportaría MEJOR la disponibilidad 24/7? de transmisión varía con la frecuencia. La interferencia electromagnética (EMI) es causada por ondas electromagnéticas externas que afectan las señales deseadas. Usar una topología en estrella. Los reportes de terminación anormal identifican los trabajos de aplicación que fueron terminados antes de su terminación exitosa. El almacenamiento fuera del sitio y la prueba periódica de sistemas no soportan por sí mismas la disponibilidad continua. y el usuario puede experimentar problemas de comunicación. no puede prevenir la corrupción. ¿Cuál de los siguientes podría ser causado por la longitud del cable? enfrenta atenuación alrededor de los 100 metros. El rendimiento.Ping&quot. Positivo falso es una en la que los controles están establecidos. Cuando la señal se torna débil. sin embargo. La distorsión por demora representa la demora en la transmisión porque la velocidad de propagación de una señal a lo largo de una línea El mirroring de elementos críticos es una herramienta que facilita la recuperación inmediata. El direccionamiento circular es la vía lógica de mensaje /paquete para viajar desde el origen hasta el destino. una organización instaló una herramienta de estudio de laReporte asegura que cuando una transacción ha sido reportada de regreso a un usuario como completa. representa la demora que tendrá un Un comando &quot. La importación y exportación de información con otros sistemas es que: para asistir en la planeación de los recursos humanos. comparan los resultados Usar conductos separados para cables de datos y cables eléctricos.II II II II II II II II II Un cable instalado de Ethernet corrido en una red de pares retorcidos no protegidos (UTP) tiene más La atenuación es el debilitamiento de las señales durante la transmisión. se mide en bytes por segundo. ¿Cuál es el cambios resultantes a la base de datos sobrevivirán las fallas posteriores de hardware o software. Este principio de integridad de datos se conoce como: El aislamiento asegura que cada transacción sea aislada de otras transacciones . pero están evaluados como riesgo MáS serio asociado con dichas herramientas? débiles. y de ahí que. UTP de 100 metros de longitud. Una suma de verificación ayudará a detectar la corrupción de datos durante la comunicación. El direccionamiento alternativo es el método de direccionamiento de la información por un medio alternativo como cable de cobre o fibra óptica. los están identificadas y de ahí que no puedan ser resueltas. La redundancia implica proveer capacidad adicional. cada transacción sólo tenga acceso a los datos que forman parte de un estado consistente de base de datos. que se mide usando un comando &quot. absoluto. es la cantidad de trabajo por unidad de tiempo. vulnerabilidad o escaneador de seguridad para identificar posibles debilidades. debido a un campo magnético inducido creado por medio de corriente eléctrica. Las bitácoras de sistema son reportes automatizados que identifican la mayoría de las actividades realizadas en ¿El análisis de cuál de los siguientes es MáS probable que habilite al auditor de SI para determinar si la computadora. la integridad de datos es ocurriera un error o interrupción. de respaldo diaria implica que es razonable que el restablecimiento ocurra dentro de un número de horas pero no inmediatamente. el auditor de SI debe verificar computadora y sus soluciones.Ping&quot. El principio de atomicidad requiere que una transacción sea completada en su totalidad o no lo sea en absoluto. La encripción de datos transmisión? minimiza el riesgo de fuga de datos en caso de intercepción de líneas telefónicas. Si En un sistema de procesamiento de transacciones en línea.. lo cual debe demandar una nueva verificación de los controles. aumentará la velocidad de . Los horarios de trabajo de operador son mantenidos por la gerencia de SI portabilidad de la base de datos. El uso de un índice es un objetivo de una revisión de acceso a base de datos. dejando la red vulnerable a ataques. lo cual no es el caso aquí. minimiza el riesgo de corrupción de datos En un entorno de LAN. Reporte con menos detalles y funciones de reporteo diferencial provistos por estas herramientas. pero no lo prevendrá. Se han desarrollado muchos programas que analizan la bitácora de sistema para un programa no aprobado intentó tener acceso a datos sensitivos? reportar sobre puntos definidos específicamente. todos los cambios efectuados hasta ese punto son retirados. Los reportes de problema de operador son usados por los operadores para registrar problemas de operaciones de El uso de un lenguaje de consultas estructuradas (SQL) es un elemento clave para la Cuando se analiza la portabilidad de una aplicación de base de datos. ¿Cuál de los siguientes minimiza el riesgo de corrupción de datos durante la del escaneo durante un período de tiempo. comienza a leer un 1 por un 0. La consistencia mantenida asegurando que una transacción sea o bien concluida en su totalidad o no lo sea en asegura que todas las condiciones de integridad en la base de datos sean mantenidas con cada transacción. con una opción para usar dicha capacidad adicional en el caso La latencia. La interferencia telefónica no tiene ninguna relación con la longitud del cable de UTP. que puede lograrse con cubiertas de cables (split cable) o instalaciones de cable duplicado se denomina: diferentes/duplicadas. Una disminución en la amplitud a medida que un mensaje en una red de comunicación basada en una serie de puertas en la capa física de red en la una señal se propaga a través de un medio de transmisión se denomina atenuación. que interconexión de sistema abierto. se usa para medir: de que la capacidad de transmisión primaria no esté disponible. El direccionamiento diverso es el método de direccionamiento del tráfico a través de instalaciones de cable El método de direccionamiento del tráfico a través de instalaciones de cable partido partido o de instalaciones de cable duplicado. y el hecho de que todas las entidades tengan un nombre significativo y llaves primaria y extranjera identificadas es un objetivo de una revisión de diseño de base de datos. un objetivo de revisión de interfaces de base de datos. La capa de sesión y enlace de datos no tienen ninguna funcionalidad para la gerencia de red.e. Los datos en archivos de spool no son más fáciles de enmendar sin autoridad que cualquier otro archivo. a pesar de ser importantes. La compra de software de sistema operativo depende del hecho de que el software sea compatible con el ¿Cuál de los siguientes es crítico para la selección y adquisición del software de sistema operativo correcto? hardware existente. El software de monitoreo de capacidad muestra. no son tan importantes como la opción C. (i. reducir las velocidades de transmisión de datos y aumentar las velocidades de transmisión cuando la red parece que ya no está congestionada (e. . por lo general en forma de luces o de gráficas rojas. información sobre el efecto de las exigencias de funcionalidad de los usuarios y no asegura el uso concurrente del sistema por parte de los usuarios. no existe ningún mensaje para cancelar o descartar mensajes. Estodese hace usando disparadores. El software de monitoreo está destinado a de impedir esto. mensajes Los programas de de utilería que reúnen módulos de software para ejecutar una versión de de extinción de enviados cuandode la memoria deleditores ruteadorde enlace o del ybuffer llega a la capacidad). no provee actualizada automáticamente en una llave extranjera coincidente otras tablas. Los usuarios no aprueban normalmente la adquisición de software de sistema operativo. controles de flujo de TCP). Como no se comparten líneas o puntos intermedios de entrada.g. Nunca se debe permitir que los sistemas operen al máximo de su capacidad. el riesgo de intercepción o interrupción de los mensajes de telecomunicación es más bajo. ámbar y verdes.. II ¿El control de congestión se maneja MEJOR por cuál capa de OSI? II Los programas de utilería que reúnen módulos de software que se necesitan para ejecutar una versión de programa de aplicación de instrucciones de máquina son: II El software de monitoreo de capacidad se usa para asegurar: II Una limitación de integridad de referencia está constituida por: II ¿Cuál de las siguientes exposiciones asociadas con el spooling de reportes sensitivos para impresión A menos que esté controlado. lo que actualmente puede aumentar los problemas de congestión. el uso real de los sistemas en línea frente a su capacidad máxima. Las opciones A y D. mas que para resaltar los niveles de acceso de usuarios. II II ¿Cuál de los siguientes medios de línea proveería la MEJOR seguridad para una red de telecomunicación? La capa de transporte es responsable de la entrega de datos confiables. Las líneas dedicadas son apartadas para un usuario en particular o para una organización. La capa de red no es correcta porque el control de congestión ocurre basado en implementaciones ruteador de control de flujo al nivelquedese necesitan la red subordinada. embargo. en términos de tiempos de respuesta. El objetivo es permitir al personal de soporte de software que tome medidas si el uso comenzara a sobrepasar el porcentaje de la capacidad disponible para asegurar que se mantenga la operación eficiente.II ¿Cuál de los siguientes consideraría un auditor de SI que es MáS útil cuando se evalúa la efectividad y adecuación de un programa de mantenimiento preventivo de computadora? Un registro de tiempo improductivo del sistema provee información sobre la efectividad y adecuación de los programas de mantenimiento preventivo de computadora. sin programa de fuente aplicación de instrucción máquina son los los cargadores. el spooling para impresión fuera de línea permite que se impriman fuera de línea consideraría un auditor de copias adicionales.. II ¿Cuál de los siguientes es el medio MáS efectivo de determinar qué controles están funcionando correctamente en un sistema operativo? Los parámetros de generación del sistema determinan cómo funciona un sistema. Es improbable que los archivos de impresión estén disponibles para ser leídos en SI que es el MáS serio? línea por los operadores.referencial Aunque aseguran el software puede enser para dar de soporte a un Las limitaciones integridad quebien un cambio unausado clave primaria una tabla sea caso de negocios para futuras adquisiciones en términos de de requerimientos capacidad. Esta capa implementa un mecanismo de control de flujos que puede detectar congestión. Por lo general hay una amenaza menor de acceso no autorizado a los reportes sensitivos sen caso de una falla de sistema. la configuración física y su interacción con la carga de trabajo. diferenciará los archivos que tengan el mismo nombre. hay tres hubs conectados entre sí. La fecha de creación. interfaces. Un hub inteligente permitiría la desactivación de un solo Puerto mientras deja activos los puertos restantes. etc. También se en la administración de redes? ocupa de la administración de la configuración y del monitoreo del desempeño. Todas las otras canales de bajaimplementaciones velocidad en un canal de velocidad alta. la seguridad física también proveería una protección razonable sobre los hubs con puertos activos.combinar las ubicaciones formato y manejo de mensajes. Las redes neurales se pueden usar para atacar problemas que requieren consideración de numerosas variables de Las redes neurales son efectivas para detectar el fraude porque pueden: input. II ><br>Para las ubicaciones 3a. Un procesador de inicio de comunicación conecta todas las líneas de comunicación de red a una computadora central para aliviar a la computadora central de realizar tareas de control de red. direcciones. conocidas también como gateways apoderadas o proxy. conversión de ><br>Suponiendo que este diagrama representa una instalación interna y la organización está El objetivo de un firewall es proteger una red confiable contra una confiable. puedan seguir su camino a través de todas las redes. ¿qué controles. La opción B es más probable cuando se sigue la práctica de amontonar hubs y crear más conexiones de terminales. etc. se recomendaría para mitigar esta debilidad? II ><br>En el área 2c del diagrama. con la capacidad para permitir o evitar el tráfico entre redes o entre nodos basándose en direcciones. Los hubs abiertos representan una debilidad significativa de control a causa del potencial de fácil acceso a una conexión de red. La resolución de Una fecha del de retención asegurará que unresolver archivo problemas. puertos. controles sobre los mecanismos de seguridad de la red en conjunto paquete. Las gateways de nivel de aplicación son intermediarias entre dos entidades que quieren comunicarse.II II II II II II II Un Firewall filtrado de red subordinada proveería la mejor protección. Adicionalmente. Las redes neurales no funcionarán bien para resolver problemas para los que no se Un gateway realiza el trabajo de traducir formatos de correo electrónico de una red a otra para que los mensajes ¿Cuál de los siguientes traduce formatos de correo electrónico desde una red a otra para pueden obtener conjuntos grandes y generales de datos de entrenamiento. protocolos. ¿Dónde deberían instalarse los que necesitan de firewall estaríanmás en la existencia de las conexiones externas. Suponiendo que es verdad. de aplicación no con sólo normas al nivel para de ################################################################################ EDI transacciones entre los socios comerciales. Aplicar una fecha de retención en un archivo asegurará que: problemas servidor proxy se usa para La fecha de retención no afectará la capacidad de leer el archivo. Ellas son inherentemente no lineales y no hacen supuestos sobre la forma de ninguna curva que relacione a las variables con el output. No es esencial que se usen herramientas de monitoreo. El router de filtrado puede ser un router comercial o un nodo con capacidades de direccionamiento que puede filtrar paquetes. Un concentrador/ multiplexor esred un nodispositivo varios implementando un programa de protección de firewall. paquete o dato que viaje entre la internet y la red corporativa. como por ejemplo transmisiones asíncronas y síncronas. El filtrado controla solamente en el nivel de paquete. ¿Qué riesgo potencial podría esto Los hubs son dispositivos internos que generalmente no tienen conectividad externa directa y por ello no están propensos a hackers. Los mapeos topológicos proveen una descripción de los componentes de la red y su conectividad. término en inglés) debidamente funciona al (por nivel ejemplo. Las redes neurales no descubrirán nuevas tendencias. firewalls? respuestas son incompletes o representan conexiones internas.. EDI El se router de mejor filtrado paquetes examina el encabezado de todo rápidamente dadas las reducidas oportunidades de revisión y de autorización. Un convertidor de protocolo es un dispositivo de hardware que el mensaje pueda viajar a través de todas las redes? que convierte entre dos tipos diferentes de transmisiones. pero no ############################# con los contenido controles dedel aplicación) adecúa para de identificar y dar seguimiento a los errores más ve el paquete. usado por lo para tanto. Implementado contratos de aplicación (proxy. Ellas son capaces de captar relaciones y patrones que a menudo se les escapa a otros métodos estadísticos. Mientras que indicar? esta situación puede ser un indicador de controles deficientes de la gerencia. 1d y 3d. puertos. no la fecha de retención. Las copias de respaldo se esperaría que tengan una fecha de retención diferente y por lo tanto puedan bien ser retenidas después de que el archivo haya sido sobrescrito. . No se conocen virus que sean específicos para los ataques de hubs. el diagrama indica hubs con líneas que parecen estar abiertas y activas. si hubiera. Esto es crítico para administrar y monitorear la red. El nivel es la mejor respuesta. no pueda ser sobrescrito antes de que esa fecha haya pasado. ¿Cuál de los siguientes tipos de firewall protegería MEJOR una red contra un ataque de Internet? La administración de configuraciones es ampliamente aceptada como uno de los componentes clave de ¿Cuál de los siguientes componentes es ampliamente aceptado como uno de los componentes críticos cualquier red dado que establece cómo funcionará la red tanto interna como externamente. NETBEUI). que es un dispositivo de nivel 7. IPX. La verificación de procedimientos de ¿Cuál de los siguientes ayudaría a asegurar la portabilidad de una aplicación conectada a una base de El un uso MAN unestructurado ruteador (router). analizar los datos? procedimientos/triggers almacenados asegura el acceso/desempeño apropiado. extranet) a través de la Internet a sus seguridad en la extranet usando redes públicas como un transporte o redes privadas compartidas.. cuando se violan los firewalls de comunicaciones donde el cliente es la máquina de solicitudes y el servidor es la máquina proveedora).. sistema operativo subyacente. La opción Cesa se refiere a usuarios remotosporquevulnerabilidades acceden a un entorno Es el medio. el modelo entidad-relación. importación y exportación con otros sistemas asegura mejor interfaz con otros sistemas. pero en realidad deja los datos en el lugar así que con herramientas apropiadas. y los controles de acceso sobre los pools de impresión previenen que los reportes Los de accidentalmente sistema son los únicos unodeesperaría encontrar en el registroade consola. (Opción B). Un de hubfirewall es una repetidora. y revisar el diseño. sistemas clientemayor /servidor (opción B) no trata dese extender la red a firewalls los sociosencima comerciales clienteoperativos /servidor ################################################################################ comerciales es la presencia potencial dedentro vulnerabilidades que podrían socavar la postura de seguridad se refiere a un grupo de computadoras de una organización conectado por medio de una red ############################# de la plataforma misma de firewall. todos serán de ayuda pero no contribuyen a la portabilidad de una aplicación que conecta a una base de datos. importante. ¿Cuál de los siguientes dispositivos de hardware libera a la computadora central de realizar tareas Un Procesador de inicio de comunicación (Front-end) es un dispositivo de hardware que conecta todas las líneas de control de red. II ¿Cuál de los siguientes se puede usar para verificar los resultados del output y los totales de control haciéndolos coincidir contra los totales de datos de input y de control? II ¿Cuál de los siguientes esperaría encontrar un auditor de SI en un registro de consola? El balanceo de lote se usa para verificar los resultados de output y los totales de control haciéndolos coincidir contra los datos de input y los totales de control. sólo restablece los señaladores de directorio. seanerrores borrados de los que spools impresión o que sean dirigidos una impresora diferente. no el Mantener disponibles todas las opciones de instalación en el sistema aumenta más los riesgos método de proveer acceso a una red. socios comerciales? Debido a su bajo costo. Los VPNs se basan en técnicas de tunelización/encapsulación. las correcciones de error de conversión de datos corrigen los errores que ocurren debido a duplicación de transacciones e ingreso de datos incorrectos. Es un dispositivo de nivel 1. En la mayoría de las circunstancias. uniendo una red de ethernet con una red de token) para formar una (Opción red lógica. siglas de los términos en inglés) permite que los socios externos participen con ¿Cómo puede una empresa proveer acceso a su Intranet (i. provee vulnerabilidades y explotaciones.II II II II II II II El disco duro debe ser desmagnetizado ya que esto causará que todos los bits sean puestos a cero eliminando Cuando una PC que ha sido utilizada para el almacenamiento de datos confidenciales es vendida en el así cualquier posibilidad de que la información que haya estado almacenada anteriormente en el disco. los cambios en las funciones y perfiles de los socios de la cadena de usuario y de organización. paradede laInternet. Un puente opera en el nivel y2 es de apropiado la capa OSImantener y se usa conectar dos LANs usando protocolos suministro serán dinámicos laspara políticas de firewall diariamente diferentes (por ejemplo. y es una política prudente bloquear todo el tráfico entrante a menos que sea permitido C). usar . que permiten que el protocolo de Internet (IP) lleve una variedad de protocolos diferentes (por ejemplo. . se puede recuperar la puerto información. comerciales. se usa para conectar un LAN con un WAN. conversión de formato y manejo de mensajes? de comunicación a una computadora central para liberar a la computadora central. Un puerto serial universal (USB): El USB conecta la red sin tener que interfaz de redsea dentro de una sino que computadora usando unalrededor adaptador USB de Ethernet. Una red virtual privada (VPN. violación es facilitada en el asegurado. A) es Un hub es un dispositivo que conecta: una red privada compartida para proveer SSL servicios pero no extendidos a la(Opción Intranet de una conectividad transparente a los usuarios en todos los segmentos del mismo LAN. simplemente la mueva para hacer más eficiente el acceso a ella. Un LAN se conecta con de usando lenguaje de pregunta (SQL) facilita la portabilidad. Un formato de nivel medio no borra información del disco duro.e. Un La preocupación cuando implementan de (i.las redes públicas (Internet)como transporte es el método principal. SNA. que opera en la capa de red.e. Los formularios de encabezado de lote controlan la preparación de datos.Un gateway. sea mercado abierto: recuperada. Un proveedor de servicio de red (opción D) puede proveer serviciosdea Un hub es un dispositivo que conectaUsar dos segmentos unadministración solo LAN. La defragmentación delinstalar disco una no tarjeta causaseparada que la de información borrada. La eliminación de datos del disco elimina el señalador del archivo. Las capas 3una y dirección 4 (IP y TCP) y algunas router /gateway conecta redes tendrá dos de IP. puede tomar decisiones inteligentes para dirigir es lo MáS importante porque provee: alfabéticos. la capa de transporte se basa en característica especificar un router. En este caso. conexión de red. ################################################################################# Para que la microcomputadora del auditor de SI se comunique con la mainframe. una clase de software empleado por las aplicaciones cliente-servidor. Las repetidoras amplifican las señales de transmisión para alcanzar dispositivos se usa untomando nombre de dominio. Las estaciones de trabajo generan la CRC y la transmiten con los datos al errores en las transmisiones de red? para lastiempo. Los gateways proveenun La interfaz que permite acceso a los servicios de red de nivel más bajo o más alto se denomina: . como por ejemplo selección (sorting) o copias de respaldo. El gateway de aplicación es similar a un gateway de circuito. terminales que operan en que el recibe modo computa del paquete eny algunas redes públicas datos.25 un interfaz es la interfaz entre el equipo de terminal de datos y el equipo de terminación de circuito de datos ¿Cuál de los siguientes controles detectará en forma MáS efectiva la presencia de surgimientos de bloque de datos transmitidos. este caso (como requieren durante el procesamiento normal. La verificacióny de paridad también (conocida como overificación vertical de redundancia) La bits información de interruptores rutas de capas de red (encabezador header de capa de red). La capa de enlace de datos transmite información como grupos de bits circuito (opción D). Esto significa que no sólo verifica el paquete de son erróneos. y enviándola correspondiente. reacondicionándola recincronizándola. ejemplo un error de paridad o verificación de eco) se pueden detectar múltiples errores. esa red. Sin embargo. Adicionalmente. siglas de los términos inglés) verificarX. Las técnicas de auditoría asistidas por computadora detectan situaciones específicas. CRC-16. que su contenido cuando laenenergía es puede desconectada. Los servicios otros (granularidad). una codifica una red como un marco están divididos en un campo de dirección (dirección dedirección hardware dedeIPcontrol de tanto acceso a medios MAC En una red basada en TCP/IP. La verificación de redundancia cíclicamantiene (CRC. Los routers son dispositivos de cambio que operan en la capa El DNS es primariamente utilizado en la Internet para la resolución del nombre &dirección del sitio web. Comoque. las direcciones de IP no se refieren termina las conexiones (sesiones) las aplicaciones que cooperan para almacenar marcos y para actuar como un dispositivo de almacenamiento y reenvío. servicio y/o de puerto. pero no están destinadas a conocer patrones y detectar anormalidades. del La mismo La estación de trabajo una CRC la compara con la estaciónde de trabajo utilería software de sistema se usaquepara realizar mantenimiento deEn sistema y rutinas quepor se remitente.II II II II II II II II II Una red neural monitoreará y conocerá patrones. la Internet se basa en direcciones de IP. Por lo tanto. Si un servidor DNS no sabe cómo traducir a otro. Un de 48 campoellos de control. De ahí que. En general. Aquí nuevamente una dirección de IP no puede referirse a la computadora. es un: operan en la capa de enlace de datos de OSI examinando el encabezador de control de acceso a los medios de un paquete de datos. etc. un deservicio DNS debe traducir el ynombre en la dirección de IP remotos una señal proveniente un LAN. funciona en una forma más detallada que los (32 de CRC-32). directorios y seguridad. se establecen dos conexiones. reportando las excepciones para investigación. Si las capas inferiores no hacen un En trabajo caso usará muchas direcciones de IP. puentes conectan dostransporte redes separadas para formar una red (por ejemplo. autenticación. campo de datos y campo de individual. el auditor de SI debe ############################ usar un convertidor de protocolo para convertir la transmisión asíncrona y la síncrona. en lugar de abrir Una dirección de IP especifica unainternos. ¿Cuál de las siguientes metodologías basadas en sistema emplearía una compañía de procesamiento financiero para monitorear los patrones de gasto para identificar patrones anormales y reportarlos? Middleware. control de errores. El sistema DNS tiene su propia red. provee servicios. La conexión capa de transporte provee conforma el gateway de dos circuito) yy una desde eldirecciones proxy al interno. de Este dispositivo hardware debe tener capacidad de almacenamiento a dispositivos individuales enentre la red sino que se refieren a las almacenar marcos (frames) y para actuar como un dispositivo de almacenamiento y reenvío explicó. CRC puede detectar todos los errores de un solo bit y de ¿Cuál de los siguientes tipos de firewalls provee el MAYOR grado y granularidad de control? Para poder manejar los servicios web tiene un proxy de http. Losadecuado. administra y ethernet con provee un red la deestructura token). detectar errores en los casos en que los números impares de bits externos e internos. Una provistos computadora en capas la red puede ser conectada a otras redes también. Esto significa que ellos analizan los paquetes nodos? donde hay una presencia de surgimiento errores. Tales computadoras se denominan anfitriones con múltiples la capa de es la última oportunidad paralógica la recuperación de errores.esSiun ambas son iguales entoncesque se asume el bloque está libre de error. Facilita las conexiones cliente-servidor a través de la red y permite que las aplicaciones de cliente tengan acceso y actualicen bases de datos remotas y archivos de mainframe. Los puentes conexiones mediante las cuales están conectadas a la red. como por ejemplo. enlace un de bit datos nodo a como nodo elsebit extienden a través la red mediante capa. Establece. información de enrutamiento codificada en un paquete un Internet que traduce dominio en dirección es de IP. identificación. de IP no pueda integridad de datos de extremo a extremo.999 por ciento de todos los estallidos generados de más de 16 bits verifica cada comando de http (CAPA 5 Y 7). pero tiene proxies específicos para cada servicio. Cada vez que el paquete a su destino. una dirección de IP especifica: una sola conexión al servidor interno. Como los nombres son de servicio IP). Firmware está constituido por chips de memoria con código de programa integrado. Esta funcionalidad está codificada por hardware y ocurre en la capa física de OSI. Para asegurar una entrega confiable. Una proveniente del externo al proxy (que anfitrión enbits). y está basado en un proxy o programa que actúa como un intermediario (unidades lógicas llamadas marco) a los sistemas de computadora adyacentes (nodo a nodo). El software de administración de base de datos es un método de almacenar y recuperar datos. CRC-CCITT. examinando la nombres direcciónde de IP. El de router. no especifican una computadora sino una a una red. Como ya se El dispositivo para extender la red que debe tener capacidad de almacenamiento para sesión control para lasde comunicaciones entre aplicaciones. pero específicamente para http. El ruteador de filtrado y el filtro de paquetes (opciones A y B) básicamente funcionan ¿Cuál de las capas del modelo ISO/ OSI provee servicio para cómo enrutar los paquetes entre los implicadeagregar conocido de paridad a cadadecarácter durante laesta transmisión. Los bits de un entre los acceso externos y los Esto significa durante un acceso externo. también CRC-32) y detectar más de 99. que actúa como un intermediario entre bit de burbuja (bubble-bit). La capa de red provee al nivel de protocolo. uniendo La unacapa red de de residencias. Hay varios estándares. (unidades (i.. un servicio de nombre de dominio (domain name service-DNS) de red OSI examinando las direcciones de red (es decir. Ya no se usa un gateway de conectados a través de una red arbitraria. la capa 4). Es En una arquitectura cliente /servidor. ese los mecanismos de control por las inferiores. son más fáciles de recordar. CRC-32. el mensaje debe ser enviado al buffer para compensar las velocidades diferentes de flujo de datos. detectar todos los estallidos de errores de 16 bits o menos (32 bits o menos en el caso de direcciones de IP (capa 3) y los puertos a los que está dirigido (en este caso el puerto 80. impulsando ruido durante altas velocidad también servicio para cómo enrutar losdepaquetes de información en la capa de red) entre los nodos provenientes de las capas 3 y 4 (no de niveles superiores).e. La administración de sistemas de información provee estadísticas de gerencia pero normalmente no tiene una función de monitoreo y detección. Los reportes de tiempo improductivo (Opción B) rastrean la disponibilidad de líneas y circuitos de telecomunicación. tiene la mayor oportunidad de errores en el momento de la instalación inicial. algún tiempo ya y parece que son una opción viable para el futuro previsible. La copia de respaldo y el mirroring pueden sobrescribir los archivos anteriores y no pueden estar actualizados. . El servidor web típicamente pasa la información contenida endel el Recibir una transacción de intercambio electrónico de datos (electronic data interchangedireccionamiento. Proteger la escritura en el registro de sistema no previene la eliminación o modificación. tiempo de respuesta se define como la longitud de tiempo que transcurrió entre el sometimiento de un input y el recibo del primer carácter de output en un sistema en línea.? para procesamiento se denomina uptime o un índice de confiabilidad. opción B sería ¿Qué es un riesgo asociado con intentar controlar el acceso físico a las áreas sensitivas. recuperación de desastre. Turnaround time es la longitud de tiempo que el sometimiento de un todo trabajoel ycontrol el recibo un outputLa completado. el servidor envía de regreso la página solicitada. Es una El concepto entre de piggybacking compromete físicodeestablecido. Los puntos opción Cestá son se duplican ejemplo salas de computadora. En un servidor de web. EDI o ANSI X12 es un estándar que debe ser interpretado por una aplicación para formulario a un pequeño programa de aplicación que procesa los datos y puede enviar de regreso un mensaje de EDI) y pasarla a través de la etapa de interfaz de comunicaciones requiere a menudo: que las transacciones sean procesadas y luegopara facturadas. Por lo tanto. todos los dispositivos más allá del punto de corte no estarían disponibles. las transacciones por segundo es una sistema interno. siglas de los términos en inglés). Las contraseñas no se aplican a los firewalls. éste usualmente necesita La etapa de comunicaciones requiere procedimientos de verificación ser procesado por uninterfaz programadede aplicación. etc. el registro de sistema ¿Cuál de los siguientes ayudará a detectar los cambios efectuados por un intruso al registro de sistema personal o es soportado por personal de soporte técnico entrenado para manejar los problemas que duplicado en el disco podría compararse con el registro original para detectar diferencias. Cuando el usuario solicita una página de web (por ejemplo. cuando un usuario completa un formulario en una página web y lo envía. Es parte del protocolo HTTP de sentido enviar y recibir miden transacciones de EDI las mismas no sistema pueden durante ser procesadas medio mide de un Las medidas de throughput cuánto trabajo es si efectuado por un un períodopor de tiempo. Sin embargo. la tecnología está cambiando constantemente pero las llaves de tarjeta la respuesta existido por correcta. El las comunicaciones. Nola web. presionando en una palabra iluminada o ingresando una dirección de sitio de web). II El error más probable que ocurre cuando se implementa un firewall es: Una lista de acceso actualizada e impecable es un desafío significativo y. una interfaz común de gateway (CGI) es usada con la MAYOR frecuencia como: II ¿Cuál de las siguientes se consideraría una característica esencial de un sistema de administración de red? Para rastrear la topología de la red sería esencial que existiera una interfaz gráfico No es necesario que cada red esté en la Internet y un help desk. que podría ser de un servidor? ocurren durante el curso de las operaciones de SI. Si este calbe es cortado. Para un sistema de procesamiento de transacciones en línea.y las transacciones por segundo son parte un índice de throughput. el resultado de cambios efectuados por un intruso. y la capacidad de exportar a una hoja de trabajo no es un elemento esencial. Respecto a la opción D. pero no son de la etapa de interfaz de de de transacciones en línea. es por ello que esta no han es fácilmente. Los monitores en línea (Opción A) miden las transmisiones de telecomunicaciones y determinan si las transmisiones son correctas y completas. En un sistema medida de: queprocesamiento ayudan a cumplir las reglas del negocio a establecer controles. pagadas y enviadas. cerrojos. o convención enviar datos entre el servidor y la se denomina la como a servicios. Los dispositivos están conectados en un solo cable. tiene interfaz común de gateway (CGI. SWIFT es un ejemplo de cómo EDI ha sido implementado y adoptado. ya que el súper usuario puede evadir la protección de escritura. por lo tanto. que tiene Un CD que se escribe una sola vez no puede ser sobrescrito. como por transcurrió medida de tiempo El porcentaje de tiempo que en el lasistema disponible preocupación mínimaenen un un sistema entorno de lote. Desempacar transacciones y grabar las bitácoras de auditoría son ambos elementos importantes la productividad del sistema. II ¿Cuál de las siguientes disposiciones físicas de LAN está sujeta a pérdida total si falla un dispositivo? La red de bus es vulnerable a falla si falla un dispositivo. un módem evade un firewall y un ataque de virus no es un elemento al implementar un firewall. tanto si aplicación corresponden a mercancía confirmación. a través de llaves de tarjeta. Los reportes de help desk (Opción C) son preparados por el help desk. II Una herramienta de diagnóstico de red que monitorea y registra información de red es un: II Los analizadores de protocolo son herramientas de diagnóstico de red que monitorean y registran información de red de los paquetes que viajan en el enlace al que está conectado el analizador. Este método.II II II II La interfaz común de gateway (CGI) es una forma estándar para que un servidor de web pase la solicitud de un usuario de web a un programa de aplicación y para que reciba y envíe los datos al usuario. pero el hecho de que la cookie almacene información acerca del usuario es el riesgo. los Medios (MAC) los switches de capa 2 separan el tráfico en un puerto como segmentos diferentes Una llave/clave externa columna en una que referencia unavirtual llave/clave primaria de y sin determinar si es es una tráfico autorizado o tabla no autorizado. Las opciones A. para que los sitios web puedan comunicarse con este archivo cuando el mismo cliente regresa. La integridad referencial está relacionada con el esquema lógico. proveyendo la integridad referencial. definir debidamente la autorización de acceso para usuarios y parte exterior de un edificio de centro de computación es una sola medida de seguridad. Basado en direcciones de Control de Acceso a preventivo) y el atacante que ya obtuvo acceso privilegiado puede modificar los registros o inhabilitarlos. Activar el registro de actividad (accounting) de usuarios no se relaciona con usar un servidor para enviar spam. disco cualquiera copie cualquier contenido con facilidad. La indexación de estuvieran en la misma LAN. de la red? actividad tiene dos debilidades en este escenario &ndash. POP3 y SMTP son protocolos de correo comúnmente usados. No tener letreros físicos en la ¿Cuál de los siguientes asegura MEJOR la integridad del sistema operativo de un servidor? últimos parches de seguridad. Las llaves/claves compuestas constituidas por funcionalidad de algunos así switches que les permite conmutar el tráfico entre diferentes están puertos como si ellos dos o más columnas designadas juntas como la llave/clave primaria de una tabla. si el auditor encuentra que la modificación estructural no ha sido siguientes debería ser la próxima acción del auditor de SI? aprobada. Contiene datos pasados desde los sitios web. Usar dos firewalls administradores. Los archivos de localmente: cookies han causado algunos problemas con respecto a la privacidad. ¿Cuál de los siguientes es la causa MáS probable para que un servidor de correo sea usado para enviar Un proxy abierto (o relay abierto) permite que personas no autorizadas dirijan (route) su spam a través spam? del servidor de correo de otro. es un control de detección (no un control pero no son primariamente una herramienta de seguridad. la compatibilidad no es un problema. Usar dos firewalls de diferentes vendedores para verificar de manera consecutiva el tráfico de red entrante es un ejemplo de diversidad en la defensa. A menos que esté debidamente controlada. Este crea un riesgo porque las cookies almacenan esa parte del archivo de cookie que representa la interacción con ese sitio web en particular. una memoria flash provee una posibilidad para que La preocupación de seguridad MáS significativa cuando se usa una memoria flash (por ejemplo. El registro de firewalls. Los firewalls son los mismos mecanismos de seguridad. La verificación de nodos de la lista de nodos y el diagrama de red sería luego seguido por una revisión del reporte de la prueba de aceptación y luego la lista del usuario. poniendo en peligro la integridad del SO. Usando dos productos diferentes se reduce la Endurecer (hardening) un sistema significa configurarlo en la forma más segura (instalar los probabilidad de que ambos productos tengan las mismas vulnerabilidades.II Cuando se revisa la implementación de una LAN el auditor de SI debe PRIMERO revisar: II ¿Cuál de los siguientes es un ejemplo del principio de defensa exhaustiva de la seguridad? II II II II II II II Paras revisar debidamente una implementación de LAN. Una memoria flash será accedida a través de un PC mejor que cualquier otro periférico. pero no aseguran que un autorizado entre las redes. . por lo tanto. inhabilitar las opciones inseguras y desinstalar los servicios no utilizados) para en paralelo para verificar diferentes tipos de tráfico entrante es un solo mecanismo de seguridad y por lo tanto no prevenir que los usuarios no privilegiados obtengan el derecho de ejecutar instrucciones privilegiadas y de es diferente de hacer que un solo firewall verifique todo el tráfico. como por ejemplo dirección fuente. Sacar copias de respaldo a los datos de la memoria flash no es una preocupación de control ya que los datos son a veces almacenados como copia de respaldo. Las cuatro opciones se relacionan todas con una cookie. El sitio web sólo tiene acceso a que está permitiendo el registro libre de cookies. el auditor de SI debe primero verificar el diagrama de red y confirmar la aprobación. Una organización puede escoger utilizar uno o más sistemas que funcionan como como una medida de seguridad impidiendo el tráfico no autorizado entre diferentes segmentos usuario no tratará de aprovechar de las vulnerabilidades lógicas y comprometerá el SO. los controles de acceso lógico forman una segunda línea de defensa. ellas no se ocupan de tráfico autorizado versus no autorizado. Cuando el tráfico de red pasa involuntariamente un firewall. pero no con el esquema físico. Un auditor de SI detectó que varias PCs conectados con el Internet tienen un nivel bajo de seguridad El archivo de cookies reside en la máquina cliente. campo acelera las búsquedas. configuración actual no coincide con la estructura diseñada originalmente. ¿Cuál de los B y C son posibles acciones posteriores. Proteger al servidor Los sistemas Firewall son la herramienta primaria que permite que una organización impida el acceso no ¿Cuál de los siguientes componentes de red es PRIMARIAMENTE establecido para serviren un lugar seguro y establecer una contraseña de inicio son buenas prácticas. Los routers pueden filtrar paquetes basados en parámetros. Una aLAN (VLAN) es una Para evaluar la integridad referencial de una base de datos un auditor de SI debe revisar: otra tabla. Defensa exhaustiva (in-depth) significa usar diferentes mecanismos de seguridad que se respaldan entre sí. Sin embargo. Los contenidos almacenados en la memoria flash no removible USB) es que: son volátiles. pero no asegura la integridad referencial. ese modo tomen control de toda la máquina. Un auditor de SI que revisa una aplicación de base de datos descubre que la El auditor de SI debe primero determinar si las modificaciones fueron aprobadas debidamente. ejecutando para facilitar la evaluación de la calidad de programa. ser implementada ajuntolos con un programa de utilería/utilidad auditoría analizar cuán biennecesitaría se han implementado y mantenido controles de acceso conocimiento. Asegurar una separación de funciones dentro del entorno de procesamiento de la información es una responsabilidad de la Es importante llevar las actas detalladas de los comités de dirección para documentar las decisiones y las gerencia de SI. por lo tanto. Bloquear el protocolo en el perímetro no impide al gusano extenderse a la red(es) interna(s). Analizar la funcionalidad adicional propuesta. tales casos. archivo. Un monitor concurrente es una utilería/utilidad de significativa). considerada positiva cuando es una cuestión de disponibilidad de recursos. organización.e. una de sus funciones es aprobar y monitorear los principales proyectos. soportando las existir un comité de seguimiento para asegurar que las estrategias de TI soporten las metas de la El efecto MáS probable de la falta de participación de la alta gerencia en la planeación estratégica de Debe metas de la organización. y la junta directiva debe ser informada a su debido tiempo. y evaluar tanto la estabilidad del software como la complejidad de la tecnología. pero los eventos críticos aún así se registran. en efecto. La opción A es incorrecta porque sólo la gerencia principal o los niveles altos del personal deben ser miembros de este comité debido a su misión estratégica. para que el desempeño / rendimiento del empleado pueda ser mejorado de manera dentro de un paquete de control de acceso. es negativa en un entorno de base de datos. El administrador de base de datos (DBA) sugiere que la eficiencia de la Base de Datos (DB) puede ser mejorada desnormalizando algunas tablas. embargo. pero la documentación no asegura la investigación.) La desnormalización es a veces aconsejable por razones de el servicio e instalar la reparación de seguridad es la forma más segura de impedir que el gusano se ¿Cuál de los siguientes es el método MáS efectivo para tratar con la divulgación de un gusano de red Detener funcionalidad. (proceso de usuario) para tener acceso y usa un objeto (por ej. La opción B no es una responsabilidad de este comité sino la responsabilidad del administrador de seguridad. instalar la reparación no es el método más efectivo porque el que se aprovecha de la vulnerabilidad en un protocolo? funcionamientos de las aplicaciones. por lo general. el comité debe determinar si los procesos determinar: de TI soportan los requerimientos del negocio. dispositivo. individuales y no de un comité. Si el servicio no es detenido. Para asegurar esto. Purgar los registros ¿Cuál de los siguientes es el MAYOR riesgo relacionado con el monitoreo de los registros de secundarias o beneficios indirectos. Esta condición aumentaría el riesgo de que TI no esté a la altura de la estrategia de la organización. El control de cambio de vendedor es un aspecto de outsourcing y debe ser monitoreado por la gerencia de SI. ############################ programa) para asegurar que la solicitud cumple con una política de seguridad. El enlace entre el departamento de SI y los usuarios finales es una función de las partes actividades del comité de dirección de SI. de manejo de datos. Esto resultaría en: II ¿Cuál de los siguientes es una función de un comité de dirección de SI? II Un comité de dirección de SI debe: El comité de dirección de SI típicamente sirve como una junta general de revisión para los principales proyectos de SI y no debe involucrarse en operaciones de rutina. gusano continúa extendiéndose hasta que la reparación se vuelve efectiva. son aspectos demasiado estrechos en su alcance para asegurar que los procesos de TI están. no sería tan A. el registro no tiene utilidad. El Protocolo de Resolución de Dirección La razónesprincipal para invertir herramientas de filtrado la web yde de Internet correo electrónico es que ellas (ARP) un protocolo para en mapear una dirección de de Protocolo (IP) a una dirección Las herramientas de filtrado de la web y del correo electrónico son PRINCIPALMENTE valiosas reducen significativamente los riesgos relacionados con virus y material que no es del negocio. por lo tanto. ya que exige esfuerzos adicionales. No debería causar pérdida de confidencialidad.. la desnormalización aumentaría la redundancia (redundancia que es. La opción B de máquina física que es reconocida en la red local. La opción D es incorrecta porque . Bloquear el protocolo ayuda a desacelerar prohíbe a todo utiliza que trabaje Un monitor la de expansión referencia pero es un también mecanismo abstracto que software verifica que cadalo solicitud hecha porentre un ################################################################################# individuo segmentos. Un monitor de referencia es implementado a través de un núcleo (kernel) de seguridad. antes de una revisión periódica es un riesgo pero no es tan crítico como la necesidad de investigar las auditoría? acciones cuestionables.. accesos no autorizados ni malos extienda. La ausencia de un comité de tecnología de información o un comité no compuesto de TI es: altos gerentes sería una indicación de falta de participación de la alta gerencia. La función de un comité de seguimiento de TI es asegurar que el departamento de SI esté en armonía con la Un comité de seguimiento de TI revisaría los sistemas de información PRIMARIAMENTE para misión y los objetivos de la organización. la situación de los planes y presupuestos de SI. Los procedimientos para habilitar y revisar los registros deben ser documentados. Un analizador de control de acceso es una para una organización porque ellas: podría ser ciertadeen algunaspara circunstancias (i.II II II II II II II La normalización es un proceso de diseño o de optimización para una base de datos (DB) relacional que minimiza la redundancia. de otro modo innecesarios. Las y Destán son auditoría quesincapta los en eventos seleccionados a relevante medida como que la losopción sistemas de opciones aplicaciónC se Si no se investigan las acciones no autorizadas del sistema. que es un mecanismo de hardware /software /firmware. Registrar los eventos de rutina pueden hacer más difícil reconocer las acciones no autorizadas. la capacidad de innovación y el procesamiento.]) El director general es instrumental para implementar el gobierno de TI en conformidad con las instrucciones de la junta directiva. II El gobierno efectivo de TI asegurará que el plan de TI sea consistente con el: Para gobernar TI eficazmente. pueden no ser correctas. Las reconciliaciones de control de lote son un ejemplo de controles compensatorios. deber de reportar/imputabilidad (accountability). inhabilitar el acceso lógico de un empleado terminado es la acción más importante que se debe emprender.LasLareferencias comunicación las expectativas específicas de la pero gerencia son tan fiables como la investigación de los antecedentes. resuelve los aspectos gerenciales y de procedimiento del trabajo. . sido tradicionalmente la preceder única medida general desempeño. Las verificaciones de secuencia y los dígitos de verificación son ediciones de validación de datos y la retención de documentación fuente es un ejemplo de un Existe una probabilidad de que un empleado despedido pueda hacer mal uso de los derechos de control de archivo de datos. no esto por sí miembro solo no del es un control. vitae/hoja de vida. no a la integridad. Se debe hacer copia de respaldo de todo el trabajo del empleado despedido. requiriendo que los planes de TI estén alineados con los planes de negocio de una organización. La fianza está referenciando al cumplimiento de la por el desempeño/performancia del trabajo describe el estándar de desempeño/performancia y no incluiría debida diligencia. sin embargo. es documentadas fácilmente disponibles el empleado. Esto ayudará a asegurar que se dé a los usuarios acceso al sistema en conformidad con las responsabilidades definidas de su trabajo. procedimientos. normas y lineamientos están todos estructurados para soportar el plan estratégico general. El comité de seguimiento de TI monitorea y facilita el despliegue de los recursos de TI para proyectos específicos en soporte de los planes negocio. Es importante que las Una investigación de los el método yprimario para asegurar por la integridad de pero un descripciones del trabajo esténantecedentes actualizadas. Las políticas de SI. TI y el negocio deben moverse en la misma dirección. ya que ellos son los responsables en última instancia o los responsables finales de la operación efectiva y eficiente de la organización. Los planes de auditoría y de inversión no forman parte del plan de TI y el plan de seguridad debe ser al nivel corporativo. son de importantes y sería necesario verificarlas. Las otras opciones no están directamente relacionadas con los controles. C y D deberían actuar como asesores de la alta gerencia para determinar un nivel aceptable de riesgo. acceso. la acción MáS importante es: II El cuadro de mandos o marcador balanceado (balanced scorecard) de TI es una herramienta de gobierno del negocio que está destinada a monitorear los indicadores de evaluación del desempeño (performance) de TI aparte de: El gobierno de TI es primariamente responsabilidad de los ejecutivos y de los accionistas (representados por la junta directiva [board of directors. por lo tanto. El BSC de TI considera otros factores clave de éxito. y las calificaciones/habilidades indicadas en un résumé/curriculum necesariamente los controles. el elemento clave en las descripciones de trabajos es que: II ¿Cuál de lo siguiente proveería MEJOR garantía de la integridad del nuevo personal? II ¿Cuál de los siguientes sería un control compensatorio para mitigar los riesgos resultantes de una segregación inadecuada de funciones? II Cuando un empleado es despedido de su servicio. La participación de la alta gerencia es crítica para asegurar que el plan logra de manera adecuada las metas y objetivos establecidos. bitácoras de biblioteca y la fecha de contabilidad del trabajo. Eldecomité de auditoría reporta ade la junta directiva debe y debeestablecer monitorearresponsabilidad la implementación Desde una de perspectiva control. II Establecer el nivel de riesgo aceptable es responsabilidad de: La alta gerencia debería establecer el nivel de riesgo aceptable. de mandos o marcador balanceado de TI (BSC) es una herramienta de gobierno del negocio de TI dirigida a monitorear los indicadores de evaluación del desempeño de TI además de los resultados financieros. las revisiones independientes y las pistas de auditoría tales como bitácoras de consola.II La participación de la alta gerencia es MáS importante en el desarrollo de: Los planes estratégicos proveen la base para asegurar que la empresa cumpla sus metas y objetivos. la descripción un trabajo y de las recomendaciones de auditoría. II El gobierno de TI es PRIMARIAMENTE responsabilidad del: II Desde una perspectiva de control. las pruebas de razonabilidad. prospectivo personal. y se debe notificar a los Los resultados financieros del hanempleado. Todo el trabajo del empleado terminado necesita ser entregado a un empleado designado. Otros ejemplos de controles compensatorios son las bitácoras de transacciones. esto debe efectuarse después de implementar la opción D. El cuadro empleados de la terminación pero esto no debe a la acción en ladeopción D. Proveer instrucciones sobre cómo hacer el trabajo y definir la autoridad. tales como la satisfacción del cliente. Las opciones A. evaluar Un auditor de SI debería preocuparse cuando un analista de telecomunicación: red en términos de persona volúmenes corrientes y futuros de transacciones B). El requerimiento de registrar las entradas por un período contable cerrado es un riesgo. al gerente de usuario final. C y D todas podrían ser beneficios de la organización provenientes de una política de vacaciones Un administrador LANporno debería tener responsabilidades de programación pero puede tener obligatorias. En las organizaciones pequeñas. el departamento de SI debe tener planes de largo y corto plazo que sean consistentes con los planes más amplios de la organización para alcanzar sus metas. El acceso a esta función ha sido de políticas y procedimientos apropiados para la segregación adecuada de funciones. Si fuera Las vacaciones requeridas de unapor semana o más deárea duración en lao que alguien que Lanonecesidad sea el empleado necesario. pero no de la razón la que se establece. sino que se deberían establecer de manera dicho amplio acceso es: permanente. el departamento de SI debe tener: II Al revisar el plan de corto plazo (táctico) de SI. y durante este tiempo puede función que debería ser realizadadeporcometer el personal de almacén o de oingreso de órdenes. Las opciones B. El departamento de IS debe considerar específicamente la forma en que se asignan los recursos en ¿Qué es lo que un auditor de sistemas consideraría MáS relevante para la planificación de corto plazo el corto plazo. Las necesidades del debería basarse en la experiencia de la persona y en: departamento de auditoría deberían ser definidas y cualquier candidato debería ser evaluado contra Las de un analista de telecomunicaciones incluyen requerimientos de y carga de las esos responsabilidades requerimientos. La razón MáS probable para contables no deberían ser cambiados a intervalos regulares. Monitorear el desempeño de los sistemas y rastrear los problemas como un resultado de los cambios de programa (opción A) pondría al requiere unafunción definición de indicadores analista en una de auto monitoreo. Además. Un administrador de LAN estaría normalmente restringido de: responsabilidades de usuario final. La integración de SI y del personal de negocios en los proyectos es un aspecto operativo y debe ser considerado mientras se revisa el plan de corto plazo. Un empleado de SI de largo plazo que cuenta con un antecedente técnico fuerte y conLa independencia debería ser constantemente evaluada por el auditor y la gerencia. el administrador de LAN puede también ser responsable de la administración de seguridad del LAN. Las inversiones en TI necesitan estar alineadas con las estrategias principales de la para el departamento de IS? administración. clave de desempeño antes de implementar un cuadro de mandos o Antes de implementar un cuadro de mandos o marcador balanceado (balanced scorecard) de TI. C y D son objetivos. en una operación descentralizada. II Para soportar las metas de una organización. esto debería ser hecho alguien en el de finanzas de contabilidad. la duración del servicio no asegurará la competencia técnica. /modificar el cuadro de cuentas y sus asignaciones es responsabilidad del departamento de finanzas y no es una semana o más para: Esto reduce la oportunidad actos indebidos ilegales. C y D son áreas cubiertas por un plan estratégico. El administrador de LAN puede reportarse al director de la IPF o. una Se marcador balanceado (balanced scorecard) de organización debe: TI. Las opciones A y C son objetivos. ser posible descubrir cualquier actividad fraudulenta que estuviera ocurriendo. los intereses financieros y previas auditoría de SI. (opción C) y recomendar procedimientos y mejoras de balanceo de red (opción D). de crear Muchas organizaciones requieren que todos los empleados toman una vacación obligatoria de una regular realice la función del puesto de trabajo es a menudo obligatoria para las posiciones importantes. y se necesitarían planes para delinear cómo se alcanzaría cada uno de los objetivos.II II II II II II El establecimiento de períodos contables es una de las actividades críticas de la función de finanzas. Los períodos permitido a los usuarios en finanzas. La determinación de si se debe contratar a esta persona para esta posiciónasignaciones y responsabilidades del puesto de trabajo. Las opciones A. Esta evaluación amplia experiencia gerencial ha aplicado para una posición vacante en el departamento dedebería considerar factores tales como las relaciones personales. almacén e ingreso de órdenes. Las opciones A. el auditor de SI debe determinar si: II Para asegurar su contribución a la realización de las metas generales de una organización. Un plan estratégico proveería un marco para el plan de corto plazo de SI. El hecho que el empleado haya trabajado en SI por muchos años no puede por sí mismo asegurar la credibilidad. en lugar de concentrarse en la tecnología por la tecnología en sí misma. La opción D podría ser parte del plan general pero se requeriría solamente si se necesitara hardware o software para lograr las metas organizativas. Llevar a cabo estudios de auto evaluación de control y evaluar las necesidades de hardware no es tan crítico como asignar los recursos . Otorgar La función de establecimiento del libro mayor/mayor general (general ledger) en un acceso a esta función al personal en el almacén y en el ingreso de órdenes podría ser a causa de una falta paquete empresarial (ERP) permite fijar períodos contables. evaluar el impacto de la calificaciones de una basándose en la edad de la persona no es un (opción buen criterio y es ilegal en muchas carga de red o los tiempos de respuesta de las terminales y las velocidades de transferencia de datos de red partes del mundo. Por ello. un mayor riesgo de que uno pueda obtener (se le pueda dar a uno) acceso al sistema cuando de hecho esa persona no debería tener autorización. II La ventaja de un método de abajo hacia arriba para el desarrollo de políticas organizativas es que las políticas: II ¿Cuál de los siguientes es el MAYOR riesgo de la definición de una política inadecuada para propiedad de datos y de sistemas? II El objetivo PRIMARIO de una auditoría de las políticas de seguridad de TI es asegurar que: II La velocidad de cambio de la tecnología aumenta la importancia de: II Un auditor de SI encuentra que no todos los empleados tienen conocimiento de la política de seguridad de información de la empresa. que se derivan y se implementan como el resultado de evaluaciones de riesgo. . de la organización y los objetivos del negocio para alcanzar estas metas. pero la distribución no asegura el cumplimiento. Los programas de concientización de la seguridad para los empleados puede prevenir la revelación no intencional de información sensitiva a personas ajenas. Para evaluar el plan estratégico de TI. Las políticas a nivel de la empresa se desarrollan posteriormente con base en una síntesis de las políticas operativas existentes. Las opciones A. hay organización. La planeación estratégica está orientada al tiempo y a los proyectos. La asignación de autoridad para otorgar acceso a usuarios específicos. Todos deben tener conocimiento de de la cambio política tecnológico de seguridad deentorno la empresa ello no los está empleados directamente relacionado con la velocidad en el de SI. Hacer de unseguridad. La capacitación es un control preventivo. La respuesta A es incorrecta ya que la gerencia de línea preparó los planes. el auditor de SI necesitaría primero familiarizarse con el plan de negocios. una auditoría de las políticas de seguridad de TI debe primordialmente concentrarse en si las políticas de seguridad y control de TI y relacionadas respaldan los objetivos del negocio y de TI. La orientación del negocio debe ser el tema principal al implementar la seguridad. Este método asegura que las políticas no estén en conflicto con la política corporativa general y asegura la consistencia en toda la Sin una política que defina quién tiene la responsabilidad de otorgar acceso a sistemas específicos. Las opciones A. II Cuando se revisan las estrategias de SI.La planeación estratégica pone en movimiento objetivos corporativos o departamentales. podría incluirse la revisión. C y D son ventajas de un método de arriba hacia abajo para desarrollar políticas organizativas. El personal en un departamento típico de SI está altamente calificado y educado. Los planes de largo y corto plazo deberían ser consistentes con los planes más amplios de la organización para alcanzar sus metas. El auditor de SI debe concluir que: Un método de abajo hacia arriba comienza por definir los requerimientos y políticas de nivel operativo. por lo general no siente que sus puestos de trabajo estén en riesgo y están preparados para cambiar de trabajo con frecuencia. pero también debe resolver y ayudar a determinar prioridades para satisfacer las necesidades del negocio. II ¿Cuál de las metas siguientes esperaría usted encontrar en el plan estratégico de una organización? II ¿Cuál de los siguientes consideraría un auditor de SI que es MáS importante cuando se evalúa la estrategia de una organización? Que: II Un auditor de SI que revisa el plan estratégico de TI de una organización debería PRIMERO revisar: El plan estratégico de TI existe para respaldar el plan de negocios de la organización. La planeación comprehensiva ayuda a asegurar una organización efectiva y eficiente. Las otras opciones están orientadas a proyectos y no resuelven los objetivos del amplios negocio. A pesar que es importante satisfacer los requerimientos de los usuarios. el auditor de SI puede determinar MEJOR si la estrategia de SIDeterminar si el plan de SI es consistente con la estrategia de la gerencia relaciona la planificación de SI/TI con los planes del negocio. implica una mejor probabilidad de que los objetivos del negocio serán debidamente respaldados. La opción D representa un objetivo de negocio La pone laendirección movimiento corporativos Tanto los que planeación se pretendeestratégica para enfocar generalobjetivos del negocio y sería de oesedepartamentales modo una parte del plan planes estratégicos a largo plazo como a corto plazo deberían ser consistentes con los planes más estratégico de la organización. C y D soporta los objetivos de negocio de las organizaciones determinando si SI: son métodos efectivos para determinar si los planes de SI están en armonía con los objetivos del negocio y con las estrategias de la organización. Revisar si las políticas están disponibles para todos es un objetivo. La disponibilidad de organigramas con descripciones de las funciones y segregación de El cambio requiere que se en implementen ejecuten buenos procesos de administración de las funciones. outsourcing a la función de SI no está directamente relacionado con la de las políticas velocidad de cambio tecnológico.para prevenir la revelación no intencional de información sensitiva.y pero no son el objetivo primario de una auditoría cambios. el marco de la política de seguridad de sistemas es responsabilidad El desarrollo de una política de seguridad de SI es resposabilidad de: pero no asegurará su divulgación. como ha sido dispuesta y aprobada por la alta gerencia. pero para una implementación exitosa y un Además de ser una buena práctica. para manejar las intrusiones sospechosas? aspectos de seguridad de información. B y C están más detalladas que lo que debería incluirse en una política. la implementación y el cumplimiento son otros electrónicos después de un tiempo especificado para proteger la naturaleza y la confidencialidad de los pasos adicionales. mensajes mismos. Identificar los métodos para proteger contra las vulnerabilidades identificadas y su análisis comparativo costo-beneficio es el tercer paso. no teniendo ninguna autoridad en el enmarcado de la política. Todo punitivas por la violación de las reglas de seguridad también se requiere conjuntamente con la educación el correo electrónico generado en el hardware de una organización es propiedad de la organización y del usuario sobre la importancia de la seguridad. ejecución de políticas. El comité de seguridad también funciona dentro de la amplia política de seguridad definida por la junta directiva. El entrenamiento es la única protegido. detección y monitoreo son todos información incluiría. lo MáS importante es que la política personal. el sistema de contraseña tiene poco valor. el sistema de detección de intrusos para reportar sobre los con incidentes que ocurren es una La administración de una organización ha decidido establecer un programa de conocimiento de la Utilizar siguienteunpaso es identificar las vulnerabilidades (debilidades) asociadas las aplicaciones de red. II ¿Cuál de los siguientes es MáS crítico para la implementación exitosa y el mantenimiento de una política de seguridad? II Una política exhaustiva y efectiva de correo electrónico debería resolver los problemas de estructura de correo electrónico. La política de seguridad de información debería ser escrita por los gerentes de unidad de negocios incluyendo SI. La estricta implementación. El soporte y dedicación de la gerencia es sin duda importante. Los programas de corrección. opción que está dirigida al conocimiento de la seguridad. dependiendo de la ubicación física de estas aplicaciones en la red y el modelo de red. Almacenar la política de seguridad fuera del sitio o en un lugar seguro puede ser aconsejable de seguridad de información sea: pero de poco valor si su contenido no es conocido por los empleados de la organización. la junta directiva.documento&rdquo. Considerar el tema de la retención en la política de correo electrónico facilitaría la . El departamento de SI es responsable de la ejecución de la política. pero si los usuarios del sistema mantienen contraseñas escritas en su mesa. monitoreo y: II En una organización donde se ha definido una línea base (baseline) de seguridad de TI el auditor de SI debe PRIMERO asegurar: La asimilación de la estructura y la intención de una política de seguridad escrita por parte de los usuarios de los sistemas es crítico para la implementación exitosa y el mantenimiento de la política de seguridad. Después de la identificación. monitorear y hacer cumplir las reglas de seguridad que la Una política sana de y seguridad de SI es más probable que esboce un programa de respuesta para ¿Cuál de los siguientes programas es MáS probable que una política sana de seguridad de gerencia ha establecido autorizado. Habiendo identificado las aplicaciones. pero probablemente no serán incluidos en una declaración de política de seguridad de SI. La prevalencia de demandas en las que la seguridad es de suprema importancia. El seguridad. Las opciones B y C no resuelven el conocimiento. la educación de los usuarios sobre la importancia de la información que tenga un impacto en los estados financieros. de la dirección general. La identificación de las aplicaciones requeridas en toda la red debe ser identificada primero. una auditor política debe de correo electrónico resolver ladelretención de mensajes. hace de la retención de correspondencia electrónica una necesidad. ¿Cuál de los siguientes es MáS implementación de un programa de seguridad y no es efectivo para establecer un programa de siguiente paso es analizar el tráfico de aplicación y crear una matriz que muestre cómo cada tipo de tráfico será probable que sea parte del programa? conocimiento de la seguridad. La documentación. pero no exclusivamente por los gerentes de SI. La política debería también ocuparse de la destrucción de correos la idoneidad de los controles. manejar las intrusiones sospechosas. Uno puede tener un buen sistema de contraseña. la persona a cargo podrá entender la necesidad y las posibles formas de controlar el acceso a estas aplicaciones. El administrador de la seguridad es responsable de implementar. considerando los El primero evaluar debe la definición nivel mínimo de línea base para tanto asegurar litigios conocidos como los impredecibles. Actualizar la política de seguridad de información es importante A diferencia de otras políticas corporativas.II II II Para ser efectiva. II ¿Cuál de los siguientes sería incluido en la política de seguridad de SI de una organización? II ¿Cuál de los siguientes es un paso inicial para crear una política de firewall? II La política de seguridad provee la estructura amplia de la seguridad. las leyes y regulaciones pueden requerir que una organización mantenga mantenimiento de la política de seguridad. una política de seguridad de información debería llegar a todos los miembros del Cuando se ha diseñado una política de seguridad de información. Incluye una definición de las personas autorizadas para otorgar acceso y la base para otorgarlo. Las opciones A. monitoreo y ejecución de reglas por parte comunicación de correo electrónico es mantenida en el mismo sentido que el formulario oficial de del funcionario de seguridad a través de un software de control de acceso y la disposición de acciones clásico &ldquo. y una política de seguridad es un subconjunto de objetivos de control de TI. II Una probable ventaja para una organización que ha efectuado outsourcing a su procesamiento de servicios de datos es que: II Un auditor de SI que revisa un contrato de outsourcing de las instalaciones de TI esperaría que éste defina: Outsourcing es un acuerdo contractual por el cual la organización entrega el control sobre una parte o sobre la totalidad del procesamiento de información a una parte externa. sin embargo. razón. la información que está siendo procesada. II El paso inicial para establecer un programa de seguridad de información es: II Un auditor de SI que realiza una revisión de los controles generales de las prácticas de gerencia de SI relativas al personal debería prestar particular atención a: II II II Una declaración de política refleja la intención y el respaldo brindado por la gerencia ejecutiva para una seguridad apropiada y establece un punto de inicio para desarrollar el programa de seguridad. La propiedad de la propiedad intelectual tendrá un costo . sin embargo. un auditor Para asegurar que una organización está cumpliendo con los requerimientos de privacidad. el auditor de SI debería evaluar las políticas. externos. estándares y procedimientos específicos. El pago de las facturas es una función financiera que se haría por requerimientos contractuales. no un problema de control. que está afectada por prácticas de vacaciones /feriados. De las opciones. Para cumplir con los requisitos de SI debería PRIMERO revisar: legales y regulatorios. La formación del personal es deseable. Después de entender los requisitos legales y regulatorios. la metodología de desarrollo no debería de real preocupación. lo cual sería una obligación contractual específica. Las políticas y el cumplimiento de vacaciones obligatorias puede variar dependiendo del país y de la industria. Las técnicas son el medio de alcanzar un objetivo. ello no se usa tres proveedores separados de red de valor agregado (VAN). Un aspecto de administrar servicios de terceros es proveer escrito de VAN. Por esta De las funciones siguientes. mientras que los honorarios de renegociación son por lo general ¿Es apropiado que un auditor de SI de una compañía que está considerando hacer outsourcing de La del auditor devez. los programas de aplicación).. Asegurar que se disponga de acuerdos de VAN para revisión. No existe ningún acuerdo puede lograr hasta que exista un contrato. Esto se hace con frecuencia para adquirir recursos o experiencia adicionales que no se obtiene desde el interior de la organización. disponibilidad y seguridad puedan ser afectadas. es crítico que se monitoree el desempeño del proveedor de outsourcing para asegurar que éste preste a la de TI cuando se ha dado un servicio para realizarse por outsourcing? compañía los servicios que se requieran. puede ayudar al desarrollo de planes de continuidad si se les considera un ambiente de outsourcing. estándares y procedimientos organizacionales y luego revisar el acatamiento de estas políticas. Esto es verdad incluso si los activos no residen en las premisas inmediatas. Cuando se realiza una revisión de los controles generales es importante que un auditor de SI preste atención al tema de la segregación de funciones. De manera similar. y Los segregación apropiada de funciones. ya que ellos proveen la base para implementando procedimientos de control en una actividad particular de TI. esto no se puede lograr hasta que exista un contrato. El auditor de SI debe recomendar a la gerencia que: monitoreo. el auditor de SI debería tratar primero los requisitos legales y regulatorios. sin embargo. El contrato debe. Ellos proveen los objetivos entender: verdaderos para implementar controles y pueden o no ser las mejores prácticas.II II Para asegurar que la organización esté cumpliendo con los aspectos de privacidad. pero no tan crítico como una acuerdos escritos asistirían a la gerencia a asegurar el cumplimiento de los requerimientos Una organización que adquiere otros negocios continúa sus sistemas heredados de EDI. el hardware y el control de acceso de software generalmente es irrelevante mientras la funcionalidad. la compañía depende del desempeño del proveedor del servicio. Participar en el diseño de sistemas es un subproducto del monitoreo del desempeño del proveedor de outsourcing. ¿cuál es la función MáS importante que debe realizar la administración En recursos críticos de TI. esto no se puede lograr hasta que exista un contrato. especificar quién es el dueño de la propiedad intelectual (i. Mientras que la gerencia debe obtener garantía independiente de cumplimiento. Las oficinas proveedor? prestigiosas de servicio tendrán un plan de continuidad de negocio bien diseñado y probado. SI es asegurar que los activos de la compañía estén siendo unaresponsabilidad actividad que seprimaria lleva a cabo una sola su procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada salvaguardados. Un objetivo de control de TI se define como la declaración del resultado deseado o el propósito a ser alcanzado Los objetivos de control de TI son útiles para los auditores de SI. Las clasificaciones del personal y las políticas de compensaciones justas puede ser una problema moral. las organizaciones necesitan adoptar la infraestructura apropiada.e. no son tan relevantes proveedor en otro país. La negociación del acuerdo contractual ya habría ocurrido y por lo general es una responsabilidad compartida del departamento legal y de otros departamentos. es tomar un enfoque cualitativo. tal como el nivel de riesgo aceptable. Las otras opciones.g. cuando es difícil calcular las pérdidas financieras. ¿Cuál de los siguientes es Administrar/Gestionar activamente el cumplimiento de los términos del contrato para los servicios externalizados (outsourced) es responsabilidad de la gerencia de TI. Las opciones A. B y D deberían ser discutidas con el director de sistemas (Chief Information Officer&mdash. y un plan conversión. acuerdo mantenimiento relaciona más con equiposelque conaservicios. Las opciones A. aunque posibles. puede ser un acto ilegal. Un ROI es computado cuando hay ahorros o ingresos predecibles. que pueden ser comparados con la inversión que se necesita para realizar los ingresos. es menos importante verificación de que el ISP proveer servicios que políticas de auditoría no resolverían la eficiencia de recuperación de registros. II II Cuando se desarrolla un programa de administración de riesgos. B y D no son las metas en última instancia del proceso de administración del riesgo. 1 es un impacto muy bajo para el negocio y 5 es un impacto muy alto). servicios independiente (ISP)? aspectos que serían de preocupación para el auditor de SI.II II II II Cuando efectúa una revisión de la estructura de un sistema de transferencia electrónica deEn el proceso de transferencia de fondos. en el que el gerente afectado por el riesgo define la pérdida financiera en términos de un factor ponderado (e. podría haber problemas legales de jurisdicción que pudieran afectar el derecho a un esquema centralizado de procesamiento que ha sido asignado (outsourced) a unrealizar una revisión en el otro país.) El reporte debería incluir los hallazgos junto con las prioridades y los costos. y destruir e-mails ellos proponen. es importante. La amortización se usa en un estado de ganancias y pérdidas. es posible acceso o la recuperación de de registros de epuede. Basado en esta información. en el caso Con mails sin revelar otros registrosque de lae-mail confidenciales. II El resultado (output) del proceso de administración de riesgos es un input para hacer: II El auditor de SI debe identificar los activos. La auditoría y la certificación son mecanismos de aseguramiento del riesgo.. como por ejemplo TI. La clasificación de datos se requiere para definir los controles de acceso. PRINCIPAL preocupación del auditor de SI? Una organización ha hecho un outsourcing de su desarrollo de software. El pago de facturas es una responsabilidad de la gerencia de TI de la organización? responsabilidad de finanzas. la PRIMERA actividad que se debe realizar es: II Un equipo que lleva a cabo un análisis de riesgo está teniendo dificultad para proyectar las pérdidas financieras que podrían resultar de riesgo. El seguro es un ¿Cuál de los siguientes es un mecanismo para mitigar los riesgos? mecanismo para transferir el riesgo. externa. ¿Cuál sería la siguiente tarea? (Chief Executive Officer&mdash. CEO. ¿cuál de las siguientes conclusiones debe ser lacomo el problema de jurisdicción legal. La primera tarea del auditor de SI fue examinar cada aplicación existente de e. La práctica común. y luego identificar las amenazas y la Un auditor de SI fue contratado para revisar la seguridad de un negocio electrónico (e-business). El proceso de administración del riesgo trata sobre la toma de decisiones relacionadas con seguridad específica. Los riesgos asociados con recopilar evidencia electrónica es MáS probable que se reduzcan. y los contratos y SLAs son mecanismos de asignación de riesgo. Laspuede políticas de losseguridad y/o de un e-mail. El auditor de SI debería buscar una verificación independiente que el ISP pueda realizar las tareas ¿Un auditor de SI debería esperar que cuál de los siguientes elementos sean incluidos que están siendo contratadas. Verificar las referencias es un medio de obtener una verificación independiente de que el vendedor puede efectuar los servicios que dice que unaUn política de de registros de e-mailse bien archivados. un auditor de SI observa que la infraestructura tecnológica está basada enun país diferente. no para computar las pérdidas . Los riesgos se mitigan implementando prácticas apropiadas de seguridad y de control. Para evaluar las pérdidas potenciales el equipo debería: La identificación de los activos a ser protegidos es el primer paso en el desarrollo de un programa de administración de riesgos. Las referencias de otros clientes proveerían una revisión y en la solicitud de propuesta (RFP) cuando SI está adquiriendo servicios de un proveedor de verificación independiente.CIO) y se debería entregar un reporte al director general business en busca de vulnerabilidades. y en el análisis de la criticalidad. Un listado de las amenazas que pueden afectar el desempeño de estos activos y el análisis de criticalidad son pasos posteriores en el proceso. cuando el esquema de procesamiento está centralizado en fondos (EFT). por una: aunqueespecíficos.probabilidad de que ocurran. de procedimientos y procesos que sigue el ISP &ndash. buscar vulnerabilidades. o estadísticas de prácticas de seguridad. proyectos. y si. Ellos se Como resultado del gobierno de seguridad de información. Los estándares /puntos medida del desempeño. esperados? /puntos de referencia de la industria. sonel cambio. a TI y provean el liderazgo. cuando está debe proveer mejorados. La opción A es incorrecta porque es la estrategia de TI la que extiende los objetivos de la organización. las estructuras y procesos organizacionales que aseguren que la TI de la organización sostiene y extiende las estrategias y objetivos de la organización y que la estrategia está en armonía con la estrategia del negocio. Minimizar errores es un activos&rdquo. porque las personas que pueden otro evaluar modo circunstancias estratégicas. los estándares anteriormente.. es necesario evaluar las amenazas y vulnerabilidades usando métodos La evaluación de los riesgos de TI se logra MEJOR: debe convertirse en parte integral gobierno general de laLas empresa. asociaciones profesionales. medir y administrar productos de la vulnerabilidad de un activo o de un grupo de activos para causar pérdida o daño a los desempeño/performancia de TI? /servicios. De ahí que su experiencia de pérdida no pueda ser usadadepara tentarse de explotar están concientes Las de debilidades la probabilidad de ser atrapados. pero por sí mismas no son suficientes. exponiendo información y datos sensitivos al riesgo de daños maliciosos. ¿Qué nivel de clasificación representa esto en el modelo de madurez de gobierno deinexistentes." La alta gerencia media entre los imperativos del negocio y la tecnología es una mejor práctica de alineamiento ¿Cuál de las siguientes mejores prácticas de gobierno de TI mejora el alineamiento estratégico? estratégico de TI. que tiene como consecuencia la pérdida de información sensitiva. aspecto del desempeño/performancia. El gobierno de TI no es una disciplina aislada. Los diversos elementos de la definición son vulnerabilidad. de control identificadas segregación inadecuada de funciones es más probable que sea explotada a través del acceso lógico a las auditorías serán relevantes para evaluar la exposición a las amenazas y es posible que más análisis sean . asegurar la responsabilidad y tomar decisiones de presupuesto.. desempeño/performancia.porLas segregación deficiente de funciones. por el cual la gerencia de SI puede determinar cuándo y si las ¿Cuál de lo siguiente proveería un mecanismo por el cual la gerencia de SI puede determinar TI actividades de la organización se han desviado de los niveles planeados o de los esperados. entrega de valor provee un conjunto estándar entornos similares de procesamiento Estos estándares. principios de gerencia difieren dependiendo de ladebidamente naturaleza delimplementado. seguridad básica que sigue las mejores prácticas o soluciones institucionalizadas o referencia se pueden obtener de los grupos de vendedores usuarios. ataque o acceso no autorizado por hackers. mercados y procesos que está instalada es una mejor práctica de entrega de valor de TI. Los rangos son impacto. las prácticas de gerencia financiera y el logro de las metas.II II II II II II II II II La falta de controles adecuados de seguridad representa una vulnerabilidad. ejecutadas y se efectúa de manera consistente un análisis del riesgo de la seguridad de TI y delinformación para establecer clasificaciones para la seguridad en sus organizaciones. repetibles. ¿cuál sería un control compensatorio adecuado? insumos útiles para el proceso de evaluación del riesgo. La revisiónenes sus un activos medio de de TI. Una definición sucinta del riesgo es suministrada por las Directivas para la Gerencia de Seguridad de TI publicadas por la Organización Internacional para la Estandarización Un proceso de medición del como desempeño/performancia puede optimizar el (ISO). la alineación estratégica dispone: cuatro resultados básicos. La alineación estratégica provee datos de entrada (input) para los requerimientos de referencia de la industria proveen un medio de determinar el nivel de desempeño provisto por seguridad impulsadosdeporinstalaciones los requerimientos de la empresa. detector organizaciones comparables tendrán diferencias entornoel comportamiento de control y inapropiado y también disuade de uso inapropiado. Estos métodos y se usaría para evaluar el desempeño/performancia contra líneas base de desempeño/performancia establecidas cuándo. amenaza. medidos y El gobiernoLos de seguridad de información. pero no es el objetivo primario de la administración del La falta de una funcionalidad adecuada de seguridad en este contexto es una vulnerabilidad. alineamiento estratégico.de La información. Una base de conocimientos de los clientes. Recopilar datos de desempeño/performancia es una etapa del proceso de medición de Los métodos de análisis proveen un mecanismo. Basar una evaluación en las pérdidas pasadas no reflejará de manera adecuada los cambios inevitables a los activos. Probablemente también hay Sólo revisar con los registros de transacciones y delos aplicación directamente resuelve la amenaza la problemas el alcance y la calidad de datos de pérdida disponibles a ser planteada evaluados. las actividades de la empresa se han desviado de los niveles planeados. C y D son potencialmente La falta de controles adecuados de seguridad representa: Cuando existe preocupación por la segregación de funciones entre el personal de soporte y los usuarios finales. manejados y optimizados. o de los incluyen los presupuestos de SI. la seguridad. El manejo del riesgo provee un entendimiento de la exposición al riesgo. publicaciones de la industria y juntas directivas y la gerencia ejecutiva pueden usar el modelo de madurez de gobierno de seguridad de En una organización. que podría conducir a la pérdida de plusvalía (goodwill) para la organización.e. se dice que está "manejado y que es mesurable. controles de TI y al entorno estratégico de la empresa. productos.potencialdedeTIque una usarse cierta para amenaza se aproveche ¿Cuál de los siguientes es el objetivo PRIMARIO de un proceso de medición de desempeño/performancia.durante La directamente el riesgola desituación TI de la organización. Cuando las responsabilidades de la seguridad de TI están claramente asignadas y ejecutadas y se realiza de manera consistente un análisis del seguridad de información? riesgo y del impacto sobre la seguridad de TI. La gerencia de calidad es el medio por el cual los procesos basados en el departamento de SI son controlados. los procesos. Para analizar los riesgos de TI. entrega de manejo del riesgode y concentran en áreas tales como Estos la gente. etc. que define el riesgo el &ldquo. no a la inversa. i. las responsabilidades de seguridad de TI están claramente asignadas yLas de materia prima.valor. Los riesgos del proveedor y del socio que están siendo manejados es una mejor práctica del manejo del riesgo. iniciales. opciones B. activo e impacto. departamento de SI. cualitativos o cuantitativos de del evaluación del riesgo. la planeación de la capacidad y del crecimiento. Una infraestructura que es suministrada para facilitar que se cree y se comparta información de negocio es una mejor práctica de entrega de Un gobierno efectivo de TI requiere que la junta y la gerencia ejecutiva extiendan el gobierno Un gobierno efectivo de TI requiere estructuras y procesos organizacionales para asegurar que: valor y manejo del riesgo de TI. definidos. debilidad de control existente o potencial que puede surgir cuando las funciones no pueden ser ser segregadas de manera apropiada? segregadas de manera apropiada. El entrenamiento cruzado es un proceso de entrenar más de una persona para que realice un trabajo o procedimiento específico. no en las funciones. la mejor contramedida o defensa es un programa de conciencia de la seguridad. Los controles que se superponen son dos controles que tratan el mismo objetivo o exposición de control. El entrenamiento cruzado reduce los riesgos resueltos en las opciones A. Los de (outsourced) de una operación exterior (offshore)? otro país. C y D no están relacionadas con. provee la continuidad de las operaciones. De manera similar. como las personas de la unidad de negocio no tienen experiencia en desarrollar aplicaciones. controles de que límite establecen el usuario potencial de un sistemaidentificable de cómputo ¿Cuál de lo siguiente es MAS probable que indique que un depósito de datos de cliente debe permanecer en el local en lugar de ser extraído personalmente haría imposible un depósito de datos que contenga información decontroles clientes en y el sistema de cómputo mismo. es difícil instalar controles que se Las leyes deLosprivacidad prohíben elelinterfaz flujo entre transfronterizo de información superponen. adicionar recargos a la medida de los Cuando una organización está seleccionando (outsourcing) su función de seguridad La responsabilidad no puede ser transferida a tercerosadicionales ajenos. . de información. Como el outsourcer compartirá un porcentaje de los ahorros logrados. II ¿Cuál de los siguientes reduce el impacto potencial de los ataques de ingeniería social? II ¿Cuál de los siguientes provee la mejor evidencia de la adecuación de un programa de conciencia de La adecuación del contenido de conciencia de la seguridad puede evaluarse mejor determinando si el mismo es revisado y comparado periódicamente con las mejores prácticas de la industria. Como la ingeniería social se basa en el engaño del usuario. El método de abajo arriba para el desarrollo de las políticas operativas se deriva como resultado de la evaluación del riesgo. pero no ayudan a evaluar el contenido. B y C proveen la seguridad? medidas para medir diversos aspectos de un programa de conciencia de la seguridad. Por ejemplo. ni puede asumirse que resulten de. B y D. Las otras opciones no están enfocadas al usuario. de ese modo. que Laspodrían opciones B. se puede asumir lo opuesto. es prudente hacer evaluar primero el riesgo de cualquier persona que conozca todas partes de un sistemaely las exposiciones Los controles compensatorios son controles internos quelas pretenden reducir riesgo de una ¿Cuál de los controles siguientes buscaría un auditor en un entorno en el cual las funciones no pueden potenciales relacionadas. de hecho.II Dar responsabilidad a las unidades del negocio sobre el desarrollo de aplicaciones conducirá MUY probablemente a: II Un método de arriba abajo para el desarrollo de las políticas operacionales ayudará a asegurar: II Un auditor de SI que revisa una organización que usa prácticas de entrenamiento cruzado debe evaluar el riesgo de: II II II II Al desarrollar aplicaciones en las unidades de negocio. y ubicar son controles que se basan en la persona. Esto provee el respaldo de personal en el caso de una ausencia y. las bonificaciones por cumplimiento Para minimizar los costos y mejorar los niveles de servicio. ¿cuál de lo siguiente debe ser conservado en la organización? pueden ser efectuadas por entidades externas mientras la responsabilidad continúe dentro de la organización. Las frecuencias de las actualizaciones y las penalizaciones por incumplimiento sólo estimularían al outsourcer a que cumpla con los requerimientos mínimos. Un método de arriba abajo por sí mismo no asegura que las políticas sean revisadas. manejables. C y D costos variables no estimularía al outsourcer a buscar eficiencias beneficiar al cliente. Sin embargo. al usar este método. ¿un outsourcer debe buscar cuál de las en compartir las ganancias proveen un incentive financiero para ir para superar los términos siguientes cláusulas de contrato? establecidos del contrato y pueden conducir a ahorros en los costos para el cliente. en algunos casos. es más probable que ellas escriban código ineficiente que puede usar más ancho de banda y. Las diferencias de zona horaria y los costos más elevados de las telecomunicaciones son más acceso para los recursos están basados en las personas. Como los controles primarios no se pueden alcanzar cuando las funciones no pueden ser o no están segregadas de manera apropiada. El desarrollo de software requiere típicamente especificaciones más detalladas cuando se trata de operaciones offshore. Las opciones A. por lo tanto. mover las funciones de SI a las unidades de negocio. no en la función. Derivar políticas de nivel inferior de delas políticas corporativas (un método de arriba abajo) aumentar las necesidades de comunicaciones datos. los usuarios ahora a cargo de las aplicaciones podrían evadir los controles. Las opciones A. ayuda a asegurar consistencia en toda la organización y consistencia con otras políticas. Esta práctica ayuda a reducir la dependencia de una sola persona y asiste en la planeación de la sucesión. Las mejores prácticas de una ayuda en la identificación de activos que están sujetos a las leyes y reglamentaciones? Vendedor proveen una base para evaluar qué grado de competitividad tiene una empresa y los resúmenes de incidentes de seguridad son una fuente para determinar the vulnerabilidades asociadas con la infraestructura de TI. Estos métodos determinar cuándo. Los controles de límite establecen el interfaz entre el usuario potencial de un sistema de cómputo ¿Cuál de los siguientes consideraría un auditor de SI que es MÁS importante cuando se evalúa la y asociaciones profesionales. y procesos que está instalada es una mejor práctica de entrega de valor de TI. pero no son tan fiables como la investigación de los antecedentes. Las diferencias de zona horaria y los costos más elevados de las telecomunicaciones son más manejables. requerimientos para la administración de activos de información. . las prácticas de gerencia financiera y el logro de las metas. Una infraestructura que es suministrada para facilitar que se cree y se comparta información de negocio es una mejor práctica de entrega Requisitos contractuales son una de las fuentes que deberían ser consultadas para identificar los ¿Cuál de lo siguiente es la MEJOR fuente de información para que la administración use como de valor y manejo del riesgo de TI. La planeación estratégica está orientada al tiempo y a los proyectos. otras opciones a proyectos y no resuelven objetivos práctica del manejo del riesgo. de Ellosuna se ¿Cuál de los controles siguientes buscaría un auditor en un entorno en el cual las funciones no debilidad de control existente o potencial que puede surgir cuando las funciones no pueden ser concentran en áreas tales como la gente. Los principios de gerencia dependiendo la naturaleza departamento de SI. La gerencia de calidad es el medio por el cual los procesos basados en el departamento de SI son controlados. ya que la gerencia de línea preparó los planes. la seguridad. productos. o funciones pueden ser o no están segregadas de manera apropiada. la planeación de la capacidad y del crecimiento. La respuesta A es incorrecta acceso para losorganización recursos están basados en del las negocio personas. Las referencias son importantes y sería necesario verificarlas. los procesos. planes estratégicos a largo como a que corto plazo sernoconsistentes con Los los controles planes más estrategia de una organización? Que: y el sistema de cómputo mismo.el flujo transfronterizo de información identificable permanecer en el local en lugar de ser extraído personalmente haría imposible ubicar un depósito de datos que contenga información de clientes en (outsourced) de una operación exterior (offshore)? otro país. las actividades de la empresa se han desviado de los niveles planeados. implica una mejor probabilidad de que los objetivos del negocio serán debidamente respaldados. etc. Los planes de largo y corto plazo deberían ser consistentes con los planes más amplios de la organización para alcanzar sus metas. pueden no ser correctas. CERT (www. por el cual la gerencia de SI puede determinar cuándo y si las ¿Cuál de lo siguiente proveería un mecanismo por el cual la gerencia de SI puede actividades de la organización se han desviado de los niveles planeados o de los esperados. La asignación de autoridad para otorgar acceso a usuarios específicos. publicaciones de la industria La planeación estratégica pone en movimiento objetivos corporativos o departamentales Tanto los superponen. Como los controles primarios no se pueden alcanzar cuando las entornos similares de instalaciones de procesamiento de información.II II II II II II II II II La planeación estratégica pone en movimiento objetivos corporativos o departamentales. de amplios de la y los objetivos alcanzar estas metas. o incluyen los presupuestos de SI. Una base de conocimientos de los clientes. mercados del negocio.plazo y son controles se basan endeberían la persona. La fianza está referenciando al cumplimiento de la debida diligencia. en la función. ¿Cuál de las metas siguientes esperaría usted encontrar en el plan estratégico de una organización? ¿Cuál de los siguientes es el MAYOR riesgo de la definición de una política inadecuada para propiedad de datos y de sistemas? Sin una política que defina quién tiene la responsabilidad de otorgar acceso a sistemas específicos. medidos y Los controles compensatorios son difieren controles internos de que pretendendelreducir el riesgo mejorados. riesgos del Las proveedor y del están socio orientadas que están siendo manejados es los una mejor plan estratégico de Los la organización. y si. el cambio. los estándares de los esperados? /puntos de referencia de la industria. Los métodos de análisis proveen un mecanismo. La opción D representa un objetivo de La alta gerencia entre los imperativos del negocio y la tecnología es una mejor práctica alineamiento negocio que se media pretende para enfocar la dirección general del negocio y sería de ese mododeuna parte del ¿Cuál de las siguientes mejores prácticas de gobierno de TI mejora el alineamiento estratégico? estratégico de TI. Los estándares /puntos de pueden ser segregadas de manera apropiada? segregadas de lamanera apropiada. y las calificaciones/habilidades indicadas en un résumé/curriculum vitae/hoja de vida. pero también debe resolver y ayudar a determinar prioridades para satisfacer las necesidades del negocio. El desarrollo de software requiere típicamente especificaciones más detalladas cuando se trata de operaciones offshore. La planeación comprehensiva ayuda a asegurar una organización efectiva y eficiente. no a la integridad.cert. Estos estándares. Una investigación de los antecedentes es el método primario para asegurar la integridad de un ¿Cuál de lo siguiente proveería MEJOR garantía de la integridad del nuevo personal? prospectivo miembro del personal.para no en las funciones.org) es una fuente de información para determinar las Las leyes de dentro privacidad que prohíben ¿Cuál de lo siguiente es MAS probable que indique que un depósito de datos de cliente debe vulnerabilidades de la infraestructura de TI. hay un mayor riesgo de que uno pueda obtener (se le pueda dar a uno) acceso al sistema cuando de hecho esa persona no debería tener autorización. Los medio controlesde que se superponen son dedosdesempeño controles que tratan por el referencia de industria proveen un determinar el nivel provisto mismo objetivo o exposición de control. es difícil instalar controles que se estadísticas no de referencia se pueden obtener de los grupos de vendedores usuarios. El soporte y dedicación de la gerencia es sin duda importante. el sistema de contraseña tiene poco valor. aspectos de seguridad de información. La identificación de las aplicaciones requeridas en toda la red debe ser identificada primero. vendedor es un aspecto de outsourcing y debe ser monitoreado por la gerencia de SI. La estricta implementación. Minimizar errores es un aspecto del desempeño/performancia. pero no ayudan a evaluar el contenido. para manejar las intrusiones sospechosas? II ¿Cuál de los siguientes provee la mejor evidencia de la adecuación de un programa de conciencia de la La adecuación del contenido de conciencia de la seguridad puede evaluarse mejor determinando si el mismo es revisado y comparado periódicamente con las mejores prácticas de la industria. II ¿Cuál de los siguientes sería incluido en la política de seguridad de SI de una organización? La política de seguridad provee la estructura amplia de la seguridad. Después de la identificación. . detección y monitoreo son todos comité. por lo tanto. La auditoría y la certificación son mecanismos de aseguramiento del riesgo. una de sus funciones es aprobar y siguiente paso es analizar el tráfico de aplicación y crear una matriz que muestre cómo cada tipo de tráfico será monitorear los principales proyectos. II ¿Cuál de los siguientes reduce el impacto potencial de los ataques de ingeniería social? Como la ingeniería social se basa en el engaño del usuario. Asegurar una separación de funciones dentro del entorno de procesamiento de la información es una responsabilidad de la gerencia de SI. Las otras opciones no están enfocadas al usuario. Las opciones A. El control de cambio de protegido. la persona a cargo podrá entender la necesidad y las posibles formas de controlar el acceso a estas aplicaciones. la mejor contramedida o defensa es un programa de conciencia de la seguridad. pero no es el objetivo primario de la administración del desempeño/performancia. medir y administrar productos /servicios. el El comité de dirección de SI típicamente sirve como una junta general de revisión para los principales proyectos siguiente paso es identificar las vulnerabilidades (debilidades) asociadas con las aplicaciones de red. Una política sana de seguridad más probable esboce deunlasprograma de respuesta para El enlace entre el departamento de de SI ySI los es usuarios finales es que una función partes individuales y no de un manejar las intrusiones sospechosas. Identificar los métodos para proteger contra las vulnerabilidades identificadas y su análisis comparativo costo-beneficio es el tercer paso. Los programas de corrección. como ha sido dispuesta y aprobada por la alta gerencia. Las opciones A. B y C están más detalladas que lo que debería incluirse en una política. la educación de los usuarios desobre la importancia seguridad Lospolítica riesgos se implementando prácticas apropiadas seguridad y de control. seguridad a través de son un mecanismos software de de control de acceso y la disposición de acciones punitivas por la y los contratos y SLAs asignación de riesgo. dependiendo de la ubicación física de estas aplicaciones en la red y el modelo de red. pero probablemente no serán incluidos en una declaración de política de seguridad de SI. pero para una implementación exitosa y un mantenimiento de la de mitigan seguridad. anteriormente. violación de las reglas de seguridad también se requiere conjuntamente con la educación del usuario sobre la importancia de la seguridad. II ¿Cuál de los siguientes es el objetivo PRIMARIO de un proceso de medición de desempeño/performancia de TI? II ¿Cuál de los siguientes es MÁS crítico para la implementación exitosa y el mantenimiento de una política de seguridad? II ¿Cuál de los siguientes es un mecanismo para mitigar los riesgos? II ¿Cuál de los siguientes es un paso inicial para crear una política de firewall? II ¿Cuál de los siguientes es una función de un comité de dirección de SI? II ¿Cuál de los siguientes programas es MÁS probable que una política sana de seguridad de información incluiría. Uno puede tener un buen sistema de contraseña. B y C proveen seguridad? medidas para medir diversos aspectos de un programa de conciencia de la seguridad.deEl la seguro es un es de suprema importancia. Recopilar datos de desempeño/performancia es una etapa del proceso de medición de TI La asimilación de la estructura y la intención de una política de seguridad escrita por parte de los usuarios de y se usaría para evaluar el desempeño/performancia contra líneas base de desempeño/performancia establecidas los sistemas es crítico para la implementación exitosa y el mantenimiento de la política de seguridad. asegurar la responsabilidad y tomar decisiones de presupuesto. Habiendo identificado las aplicaciones. El de SI y no debe involucrarse en operaciones de rutina. monitoreo y ejecución de reglas por parte del funcionario de mecanismo para transferir el riesgo. Incluye una definición de las personas autorizadas para otorgar acceso y la base para otorgarlo.Un proceso de medición del desempeño/performancia de TI puede usarse para optimizar el desempeño/performancia. pero si los usuarios del sistema mantienen contraseñas escritas en su mesa. la situación de los planes y presupuestos de SI. porque son lo que la organización hace mejor. Las opciones B. Estos son alineamiento estratégico. El gobierno de seguridad de información. del auditor de SI es asegurar que los activos de la compañía estén siendo procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada proveedor? salvaguardados. una organización debe: II Como resultado del gobierno de seguridad de información. i. de procedimientos y procesos que sigue el ISP&mdash. Las verificaciones de secuencia y los dígitos de verificación son ediciones de validación de datos y la retención de documentación fuente es un ejemplo de un ¿Es apropiado que un auditor de SI de una compañía que está considerando hacer outsourcing de su La responsabilidad primaria control de archivo de datos. ¿cuál de las siguientes condiciones debería ser de MAYOR preocupación para un auditor de SI? II Cuál de lo siguiente es el MEJOR criterio de desempeño para evaluar la adecuación del entrenamiento de conocimiento de seguridad de una organización? Se requiere una definición de indicadores clave de desempeño antes de implementar un cuadro de mandos o marcador balanceado (balanced scorecard) de TI. Llevar a cabo estudios de auto evaluación de control y evaluar las necesidades de hardware no es tan crítico como asignar los recursos durante la planificación de corto plazo para el departamento de IS. importante. y un plan de conversión. entrega de valor. bitácoras de biblioteca y la fecha de contabilidad del trabajo. Otros ejemplos de controles compensatorios son las bitácoras de transacciones. C y D son objetivos. No se puede esperar que los contratos de outsourcing cubran toda acción y detalle esperado de las partes involucradas y multi-sourcing es una forma aceptable de reducir el La inclusión en descripciones de puestos de trabajo de responsabilidades de seguridad es una forma de riesgo. aunque es Al revisar el plan de corto plazo (táctico) de SI. El auditor de SI debería buscar una verificación independiente que el ISP pueda realizar las tareas ¿Un auditor de SI debería esperar que cuál de los siguientes elementos sean incluidos en que están siendo contratadas.e. Un auditor que observa eso debería preocuparse. es menos importante la verificación de que elproveería ISP puedeunproveer que ellosplazo proponen. Las referencias de otros clientes proveerían una revisión y verificación la solicitud de propuesta (RFP) cuando SI está adquiriendo servicios de un proveedor de independiente. La alineación estratégica provee datos de entrada (input) para los requerimientos de seguridad impulsados por los requerimientos de la empresa. la alineación estratégica dispone: II Con respecto al outsourcing de servicios de TI. Financiamiento es un criterio que ayuda . Las inversiones en TI necesitan estar alineadas con las estrategias principales de la para el departamento de IS? administración. en lugar de concentrarse en la tecnología por la tecnología en sí misma.II II II II II Las reconciliaciones de control de lote son un ejemplo de controles compensatorios. La entrega de valor provee un conjunto estándar de prácticas de seguridad. Conocimiento es un criterio para evaluar la importancia que la alta gerencia otorga a los activos de información y a su protección. Esto es verdad incluso si los activos no residen en las premisas inmediatas. El manejo del riesgo provee un entendimiento de la exposición al riesgo. El auditor no debería preocuparse de las otras condiciones porque la especificación de renegociación periódica en el contrato de outsourcing es una mejor práctica. manejo del riesgo y medida del desempeño. externa. Un acuerdo de La integración deseSIrelaciona y del personal los proyectos es un aspecto operativo y debe ser considerado mantenimiento más de connegocios equiposenque con servicios. Un plan estratégico marco los paraservicios el plan de corto de SI. Las otras tres opciones no son criterios para evaluar el entrenamiento de conocimiento de la seguridad. cuando está debidamente implementado.aspectos que serían servicios independiente (ISP)? de preocupación para el auditor de SI. las pruebas de razonabilidad. C y D son áreas cubiertas por un plan estratégico. Verificar las referencias es un medio de obtener una verificación independiente de que el vendedor puede efectuar los servicios que dice que puede. ¿Cuál de los siguientes sería un control compensatorio para mitigar los riesgos resultantes de una segregación inadecuada de funciones? El departamento de IS debe considerar específicamente la forma en que se asignan los recursos en ¿Qué es lo que un auditor de sistemas consideraría MÁS relevante para la planificación de corto plazo el corto plazo. seguridad básica que sigue las mejores prácticas o soluciones institucionalizadas o de Las actividades centrales de una organización generalmente no deberían ser sometidas a outsourcing materia prima. el auditor de SI debe determinar si: mientras se revisa el plan de cortoque plazo. entrenamiento de seguridad y ayuda a asegurar que el personal y la administración estén en conocimiento de sus funciones con respecto a la seguridad de información. Las oficinas prestigiosas de servicio tendrán un plan de continuidad de negocio bien diseñado y probado. las revisiones independientes y las pistas de auditoría tales como bitácoras de consola. debe proveer cuatro resultados básicos. Las opciones A.. II Antes de implementar un cuadro de mandos o marcador balanceado (balanced scorecard) de TI. Se debe hacer copia de respaldo de todo el trabajo del empleado despedido. esto debe efectuarse después de implementar la opción D. un auditor de SI observa que la infraestructura tecnológica está basada enun país diferente. ¿cuál sería un control compensatorio adecuado? y también disuade de uso inapropiado. sin embargo. pueden ser efectuadas por entidades externas mientras la responsabilidad continúe dentro de la organización. La debe opciónincluir C es una un control útil para asegurar que ely de personal de de TI es de planqueestratégico de TI clara articulación de la misión la visión TI. Las opciones A. pero no exclusivamente por los gerentes de SI. lo MÁS importante es que la política personal.digno El plan Cuando revisa el proceso de planeación estratégica de TI. de hecho. La revisión es un medio de detector el comportamiento inapropiado y los usuarios finales. Todo el trabajo del empleado terminado necesita ser entregado a un empleado designado. una política de seguridad de información debería llegar a todos los miembros del Cuando se ha diseñado una política de seguridad de información. los usuarios ahora a cargo de las aplicaciones podrían evadir los controles. a la acción la opción D. La opción D actúa para prevenir que usuarios no autorizados ganen acceso al sistema. porque las personas que pueden de otro modo tentarse de explotar la situación están concientes de la probabilidad de ser atrapados. como las personas de la unidad de negocio no tienen experiencia en desarrollar aplicaciones. planes del negocio. los controles operativos o las prácticas de administración de funciones. por lo tanto. La política de seguridad de información debería ser escrita por los gerentes de unidad de negocios incluyendo SI. C y D empleados de la terminación del empleado. problema con una falta de segregación de funciones es más el mal uso (deliberado o inadvertido) de los privilegios de acceso que han sido otorgados oficialmente. por lo tanto.II II II II II II Cuando efectúa una revisión de la estructura de un sistema de transferencia electrónica deEn el proceso de transferencia de fondos. aunque posibles. . y en el análisis de la criticalidad. C y D no están relacionadas con. ni puede asumirse que resulten de. pero el proyectos. Basado en esta información. La segregación inadecuada de funciones es más probable que sea explotada a través del acceso lógico a los datos y recursos de computación más bien acceso físico. Para ser efectiva. la acción MÁS importante es: II Cuando una organización está seleccionando (outsourcing) su función de seguridad información. un auditor de SI debe asegurarse de que el El confianza y competente pero no resuelve directamente la falta de una segregación óptima de plan: no necesita ocuparse de la tecnología. Almacenar la política de seguridad fuera del sitio o en un lugar seguro puede ser aconsejable de seguridad de información sea: pero de poco valor si su contenido no es conocido por los empleados de la organización. Cuando se desarrolla un programa de administración de riesgos. Un listado de las amenazas que pueden afectar el desempeño de estos activos y el realizar es: análisis de criticalidad son pasos posteriores en el proceso. cuando el esquema de procesamiento está centralizado en fondos (EFT). mover las funciones de SI a las unidades de negocio. Por ejemplo. Las opciones A. podría haber problemas legales de jurisdicción que pudieran afectar el derecho a un esquema centralizado de procesamiento que ha sido asignado (outsourced) a un proveedorrealizar una revisión en el otro país. ¿cuál de lo siguiente debe ser conservado en la organización? II Dar responsabilidad a las unidades del negocio sobre el desarrollo de aplicaciones conducirá MUY probablemente a: Existe una probabilidad de que un empleado despedido pueda hacer mal uso de los derechos de acceso. no son tan relevantes en otro país. en algunos casos. es más probable que ellas escriban código ineficiente que puede usar más ancho de banda y. Al desarrollar aplicaciones en las unidades de negocio. el auditor de SI puede determinar MEJOR si la estrategia de SI Determinar si el plan de SI es consistente con la estrategia de la gerencia relaciona la planificación de SI/TI con los pero no asegurará su divulgación. La clasificación de datos se requiere para definir los controles de acceso. se puede asumir lo opuesto. Las otras opciones. Actualizar la política de seguridad de información es importante Cuando se revisan las estrategias de SI. y se debe notificar a los deLa responsabilidad no puede ser transferida terceros Lasenopciones B. II Cuando un empleado es despedido de su servicio. ¿cuál de las siguientes conclusiones debe ser la PRINCIPALcomo el problema de jurisdicción legal. inhabilitar el acceso lógico de un empleado terminado es la acción más importante que se debe emprender. pero esto noadebe precederajenos. la PRIMERA actividad que se debe La identificación de los activos a ser protegidos es el primer paso en el desarrollo de un programa de administración de riesgos. C y D soporta los objetivos de negocio de las organizaciones determinando si SI: son métodos efectivos para determinar si los planes de SI están en armonía con los objetivos del negocio y con las estrategias de la organización. preocupación del auditor de SI? Sólo revisar los registros de transacciones y de aplicación directamente resuelve la amenaza planteada por la Cuando existe preocupación por la segregación de funciones entre el personal de soporte segregación deficiente de funciones. Desde una perspectiva de control. El efecto MÁS probable de la falta de participación de la alta gerencia en la planeación estratégica de Debe organización. no teniendo ninguna autoridad en el enmarcado de la política. TI y el negocio deben moverse en la misma dirección. Controles preventivos son controles internos implementados para Los resultados financieros han sido tradicionalmente la únicaexistir medidaindependientemente general de desempeño. monitorear y hacer cumplir las reglas de seguridad que la existir un comité de seguimiento para asegurar que las estrategias de TI soporten las metas de la gerencia ha establecido y autorizado. Esto ayudará a asegurar que se dé a los usuarios acceso al sistema en conformidad con las responsabilidades definidas de su trabajo. ¿cuál es la función MÁS importante que debe realizar la administración de TI cuando se ha dado un servicio para realizarse por outsourcing? II De lo siguiente. el Auditor de SI debería buscar: esto por sí solo no es un control. requiriendo que de las gobernar recomendaciones de auditoría. II El gobierno de TI es PRIMARIAMENTE responsabilidad del: II El gobierno efectivo de TI asegurará que el plan de TI sea consistente con el: El gobierno de TI es primariamente responsabilidad de los ejecutivos y de los accionistas (representados por la junta directiva [board of directors.II De las funciones siguientes. las opciones restantes. el elemento MÁS importante para la implementación exitosa del gobierno de TI es: II Desde una perspectiva de control. aún si fueran implementadas. es necesaria la actividad que se lleva a cabo una sola identificación de estrategias organizacionales para asegurar la alineación entre TI y el gobierno corporativo. El administrador de la seguridad es responsable de implementar. el elemento clave en las descripciones de trabajos es que: II II II II En un ambiente de outsourcing. Por esta razón. la compañía depende del desempeño del proveedor del servicio. mientras que los honorarios de renegociación son por lo general una El objetivo clave de un programa devez. El pago de las facturas es una función financiera que se haría por requerimientos contractuales. pero Durante el curso de una auditoría. El comité de auditoría reporta a la junta directiva y debe monitorear la implementación Para TI eficazmente. es crítico que se monitoree el desempeño del proveedor de outsourcing para asegurar que éste preste a la compañía los servicios que se requieran. El departamento de SI es responsable de la ejecución de la política. Los planes de auditoría y de inversión no forman parte del plan de TI y el plan de seguridad debe ser al nivel corporativo. El BSC de TI considera otros factores clave de éxito. Participar en el diseño de sistemas es un subproducto del monitoreo del desempeño del proveedor de outsourcing. . la junta directiva. documentadas fácilmente el empleado. Los controles traslapados se están debidamente segregadas. cuadro El cuadro de mandos o marcador balanceado (balanced scorecard) de TI es una reducir el riesgo de debilidad de los controles y deben de los El controles de mandos o marcador balanceado de TI (BSC) es una herramienta de gobierno del negocio de de TI herramienta de gobierno del negocio que está destinada a monitorear los indicadores de compensatorios. de ese modo. El comité de seguridad también funciona dentro de la amplia política de seguridad definida por la junta directiva. la capacidad de innovación y el procesamiento. resuelve los aspectos gerenciales y de procedimiento del trabajo. El comité de seguimiento de TI monitorea y facilita el despliegue de los recursos de TI para proyectos específicos en soporte de los planes de negocio. funciones no pueden ser segregadas.]) El director general es instrumental para implementar el gobierno de TI en conformidad con las instrucciones de la junta directiva. Los controles de acceso lógico aseguran la integridad. tales como la satisfacción del cliente. los planes de TI estén alineados con los planes de negocio de una organización. La comunicación de las expectativas específicas de la gerencia complementan entre sí y complementan controles existentes pero no resuelven ylos riesgos por el desempeño/performancia del trabajo los describe el estándar de desempeño/performancia no incluiría asociados con una segregación inadecuada de las funciones y no pueden ser usados en situaciones donde las necesariamente los controles. serían inefectivas. el marco de la política de seguridad de sistemas es responsabilidad El desarrollo de una política de seguridad de SI es resposabilidad de: de la dirección general. Esta condición aumentaría el riesgo de que TI no esté a la altura de la estrategia de la organización. A diferencia de otras políticas corporativas. la descripción de un trabajo debe establecer responsabilidad y deber de reportar/imputabilidad (accountability). Sin identificación de estrategias organizacionales. La ausencia de un comité de tecnología de información o un comité no compuesto de TI es: altos gerentes sería una indicación de falta de participación de la alta gerencia. Es importante que las Controles compensatorios son controles que pretenden reduciry el riesgo de disponibles una debilidadpor de control existente o descripciones del trabajo estén actualizadas. un auditor de SI observa que las funciones no potencial cuando las funciones no pueden ser correctamente segregadas.Las otras opciones no están directamente relacionadas con los controles. la confidencialidad y la disponibilidad dirigida a monitorear los indicadores de evaluación del desempeño de TI además de los evaluación del desempeño (performance) de TI aparte de: la información. resultados financieros. En una circunstancia semejante. gobierno de TI es dar soporte al negocio. Proveer instrucciones sobre cómo hacer el trabajo y definir la autoridad. C y D deberían actuar como asesores de la alta gerencia para determinar un nivel aceptable de riesgo. Las opciones A. En una organización. se dice que está &ldquo. pero por sí mismas no son suficientes. Las opciones A. manejados y optimizados. II El objetivo PRIMARIO de una auditoría de las políticas de seguridad de TI es asegurar que: II El paso inicial para establecer un programa de seguridad de información es: II El resultado (output) del proceso de administración de riesgos es un input para hacer: II En una organización donde se ha definido una línea base (baseline) de seguridad de TI el auditor de SI El auditor debe primero evaluar la definición del nivel mínimo de línea base para asegurar debe PRIMERO asegurar: la idoneidad de los controles. Probablemente también hay problemas con el alcance y la calidad de los datos de pérdida disponibles a ser evaluados.gestionado y que es medible. La disponibilidad de organigramas con descripciones de las funciones y segregación de las funciones. Cuando las responsabilidades de la seguridad de TI están claramente asignadas y ejecutadas y se realiza de manera consistente un análisis del seguridad de información? riesgo y del impacto sobre la seguridad de TI. Basar una evaluación en las pérdidas pasadas no reflejará de manera adecuada los cambios inevitables a los activos. II Establecer el nivel de riesgo aceptable es responsabilidad de: La alta gerencia debería establecer el nivel de riesgo aceptable. pero no son el por objetivo primario de para una una auditoría Una declaración de política refleja laenintención y el respaldo brindado la gerencia ejecutiva de las políticas de seguridad. Las opciones B.La orientación del negocio debe ser el tema principal al implementar la seguridad. entorno de control y . definidos. II El proceso de administración del riesgo trata sobre la toma de decisiones relacionadas con seguridad específica. Revisar si las políticas están disponibles para todos es un objetivo. la implementación y el cumplimiento son otros pasos adicionales. C y D son potencialmente insumos útiles para el proceso de evaluación del riesgo. las responsabilidades de seguridad de TI están claramente asignadas yLas juntas directivas y la gerencia ejecutiva pueden usar el modelo de madurez de gobierno de seguridad de ejecutadas y se efectúa de manera consistente un análisis del riesgo de la seguridad de TI y delinformación para establecer clasificaciones para la seguridad en sus organizaciones. Por ello. controles de TI y al entorno estratégico de la empresa. tal como el nivel de riesgo aceptable. II La evaluación de los riesgos de TI se logra MEJOR: Para analizar los riesgos de TI. La documentación. Los rangos son impacto. El entrenamiento es la única opción que está dirigida al conocimiento de la seguridad. iniciales. ¿Cuál de los siguientes es MÁS probable que sea parte del programa? Utilizar un sistema de detección de intrusos para reportar sobre los incidentes que ocurren es una implementación de un programa de seguridad y no es efectivo para establecer un programa de conocimiento de la seguridad. una auditoría de las políticas de seguridad de TI debe primordialmente concentrarse en si las políticas de seguridad y control de TI y relacionadas respaldan los objetivos del negocio y de TI. II La administración de una organización ha decidido establecer un programa de conocimiento de la seguridad.&rdquo. proyectos. B y D no son las metas en última instancia del proceso de administración del riesgo. es necesario evaluar las amenazas y vulnerabilidades usando métodos cualitativos o cuantitativos de evaluación del riesgo. Las opciones B y C no resuelven el conocimiento. podría incluirse la revisión. ¿Qué nivel de clasificación representa esto en el modelo de madurez de gobierno deinexistentes. pero la distribución no asegura el cumplimiento. repetibles. seguridad apropiada y establece un punto de inicio para desarrollar el programa de seguridad. ya que ellos son los responsables en última instancia o los responsables finales de la operación efectiva y eficiente de la organización. Las organizaciones comparables tendrán diferencias en sus activos de TI. Las políticas de seguridad y/o políticas de auditoría no resolverían la eficiencia de recuperación de registros. normas y lineamientos están todos estructurados para soportar el plan estratégico general. Las políticas a nivel de la empresa se desarrollan posteriormente con base en una síntesis de las políticas operativas existentes. activo e impacto. es posible el acceso a o la recuperación de registros de emails específicos. se derivan y se implementan como el resultado de evaluaciones de riesgo. en el caso de un e-mail. la preocupación PRIMARIA del Auditor de SIsometido a outsourcing una parte de sus servicios a otro proveedor de servicios. sin revelar otros registros de e-mail confidenciales. Ellos proveen los objetivos verdaderos para implementar controles y pueden o no ser las mejores prácticas. Si fuera necesario. A pesar que es importante satisfacer los requerimientos de los usuarios. regular realice la función del puesto de trabajo es a menudo obligatoria para las posiciones importantes. que tiene como consecuencia la pérdida de información sensitiva. Mientras realiza una auditoría de un proveedor de servicio. Las opciones A. por una: II II El cambio requiere que se implementen y ejecuten buenos procesos de administración de cambios. Este método asegura que las políticas no estén en conflicto con la política corporativa general y asegura la consistencia en toda la Un objetivo de control de TI se define como la declaración del resultado deseado o el propósito a ser alcanzado organización. La razón MÁS probable paraactivos. Las políticas de SI. procedimientos. adecuada las metas y objetivos establecidos. Los períodos permitido a los usuarios en finanzas. Las opciones A. contables deberían ser adecuada cambiados intervalos regulares. Donde el proveedor de servicio ha trabajo implica el uso de información confidencial. La participación de la alta gerencia es crítica para asegurar que el plan logra de manera función que debería ser realizada por el personal de almacén o de ingreso de órdenes. implementando procedimientos de control en una actividad particular de TI. Las técnicas son el medio de alcanzar un objetivo. que podría conducir a la pérdida de plusvalía (goodwill) para la organización. y destruir e-mails puede ser un acto ilegal. Una definición sucinta del riesgo es suministrada por las Directivas para la Gerencia de Seguridad de TI publicadas por la Organización Internacional para la Estandarización El establecimiento de períodos contables es una de las actividades críticas de la función de finanzas. sino que vulnerabilidad. amenaza. por lo general no siente que sus puestos de trabajo estén en riesgo y están preparados para cambiar de trabajo con frecuencia. se deberían establecer de manera La falta de no una funcionalidad de aseguridad en este contexto es una dicho amplio acceso es: permanente. La falta de controles adecuados de seguridad representa: II La velocidad de cambio de la tecnología aumenta la importancia de: II La ventaja de un método de abajo hacia arriba para el desarrollo de políticas organizativas es que las políticas: II Los objetivos de control de TI son útiles para los auditores de SI. Otorgar La función de establecimiento del libro mayor/mayor general (general ledger) en un(ISO). Un método de abajo hacia arriba comienza por definir los requerimientos y políticas de nivel operativo. hay un riesgo potencial de que la confidencialidad de la información quede comprometida. almacén e ingreso de órdenes. y una política de seguridad es un subconjunto de objetivos de control de TI. ya que ellos proveen la base para entender: II Los riesgos asociados con recopilar evidencia electrónica es MÁS probable que se reduzcan. el Auditor de SI observa que elMuchos países han establecido reglamentaciones para proteger la confidencialidad de información que proveedor de servicio ha sometido a outsourcing una parte del trabajo a otro proveedor.II II II La falta de controles adecuados de seguridad representa una vulnerabilidad.potencial de que una cierta amenaza se aproveche acceso a esta función al personal en el almacén y en el ingreso de órdenes podría ser a causa de una falta paquete empresarial (ERP) permite fijar períodos contables. que ello no está directamente relacionado con la velocidad de cambio tecnológico en el entorno de SI. Como else mantiene en sus países y/o que es intercambiada con otros países. C . esto debería ser hecho por alguien en el área de finanzas o de contabilidad. Las opciones B y C podrían ser debe ser que: preocupaciones pero no están relacionadas con asegurar la confidencialidad de la información. C y D son ventajas de un método de arriba hacia abajo para desarrollar políticas organizativas. Hacer un outsourcing a la función de SI no está directamente relacionado con la velocidad de cambio tecnológico. El personal en un departamento típico de SI está altamente calificado y educado. semana o más para: Esto reduce la oportunidad de cometer actos indebidos o ilegales. ataque o acceso no autorizado por hackers. El acceso a esta función ha sidode la vulnerabilidad de un activo o de un grupo de activos para causar pérdida o daño a los de políticas y procedimientos apropiados para la segregación adecuada de funciones.&rdquo. Con una política de registros de e-mail bien archivados. No hay razón Las vacaciones requeridas de una semana o más de duración en la que alguien que no sea el empleado Muchas organizaciones requieren que todos los empleados toman una vacación obligatoria de una por la que el Auditor de SI debería preocuparse por la opción D. El requerimiento de registrar las entradas por un período contable cerrado es un riesgo. que define el riesgo como el &ldquo. exponiendo información y datos sensitivos al riesgo de daños maliciosos. La necesidad de crear Los planes estratégicos proveen la base para asegurar que la empresa cumpla sus metas y La participación de la alta gerencia es MÁS importante en el desarrollo de: /modificar el cuadro de cuentas y sus asignaciones es responsabilidad del departamento de finanzas y no es una objetivos. y durante este tiempo puede ser posible descubrir cualquier actividad fraudulenta que estuviera ocurriendo. Los diversos elementos de la definición son vulnerabilidad. y las penalizaciones por incumplimiento sólo estimularían al outsourcer a que cumpla con los requerimientos mínimos. En las organizaciones pequeñas. asiste enlos la procesos internos y la capacidad de innovar. Los costos pasados establecidos contrato y elpueden a ahorros los ejemplo.en una La arquitectura de empresa (EA) documentar activosestándares y procesos de TI de la organización Para asistir a una organización en la planeación de las inversiones de TI. costos para el cliente. responsabilidades de usuario final. Para cumplir con los requisitos de SI debería PRIMERO revisar: legales y regulatorios. Este es un ejemplo de riesgo: riesgo con socios o tomar cobertura de seguro. el departamento de SI Para soportar las metas de una organización. La arquitectura orientada a objeto es unacon metodología de desarrollo software y del no cliente.II II II II II II II II II Para asegurar que la organización esté cumpliendo con los aspectos de privacidad. administrar y planear las inversiones de TI. comoen por los datos no están frecuencias las libros actualizaciones representadosde en los de cuentas. su eliminación debería ser efectuada por una persona que no realizada por una persona diferente? sea el administrador de la base de datos. un auditor Para asegurar que una organización está cumpliendo con los requerimientos de privacidad. La estructura organizativa de TI provee una visión general de las relaciones funcionales y de subordinación en una entidad de TI. las organizaciones pueden resolver el problema ya sea desde una perspectiva de tecnología o desde una perspectiva de proceso de negocio. adicionar recargos a la medida de los es la estrategia que dispone la definición e implementación de los controles para resolver Para resolver el riesgo de falta del personal de operaciones para efectuar la copia de Mitigación costos variables no estimularía al outsourcer a buscar eficiencias adicionales que podrían beneficiar al cliente. el administrador de LAN puede también ser responsable de la administración de seguridad del LAN. las bonificaciones por cumplimiento proveenel outsourcer informacióncompartirá sobre la suficiente detalle para permitir entender Para minimizar los costos y mejorar los niveles de servicio. las organizaciones necesitan adoptar la infraestructura apropiada. Este es un control compensatorio para ayudar a asegurar que una segregación apropiada de las funciones esté asociada con la función del administrador de la base de datos. Prevención es una estrategia que dispone no implementar ciertas actividades o procesos que incurrirían en mayor riesgo. La opción D podría ser parte del plan general pero se requeriría solamente si se necesitara hardware o software para lograr las metas organizativas. Después de entender los requisitos legales y regulatorios. ¿cuál de éstas debería ser administrador de la base de datos. Es útil pero no provee información sobre las inversiones. la administración requiere que el administrador de sistemas firme la salida en el riesgo descrito. Los estados financieros históricos no Como un planeación porcentaje dey loscarecen ahorrosdelogrados. Un administrador de base de datos debería realizar las otras actividades como parte de las operaciones Un administrador de LAN no debería tener responsabilidades de programación pero puede tener Un administrador de LAN estaría normalmente restringido de: normales. Transferencia es la estrategia que dispone compartir el la copia de respaldo diaria. el auditor de SI debería evaluar las políticas. Administración de scorecard balanceado TI inversión provee eldepuente entredelos de TI y lospara objetivos negocio Proyectos no es considerarde la aspectos TI. el análisis del impacto sobre el planeación de la de TI y la planeación táctica es relevante sólo después de que se han tomado decisiones de negocio inversiónydelaTI reingeniería de alto nivel. The scorecard balanceado de TI es una herramienta que provee el puente entre los objetivos de TI y los objetivos Para lograr entender la efectividad de la planeación y la administración de inversiones en activos de TI del negocio complementando la evaluación financiera tradicional con medidas para evaluar la satisfacción del de una organización. ¿un outsourcer debe buscar cuál de las en compartir las ganancias proveen un incentive financiero para ir para superar los términos siguientes cláusulas de contrato? plenamente las actividades de la administración respecto a los activos de TI. al gerente de usuario final. respaldo diaria. y se necesitarían planes para delinear cómo se alcanzaría cada uno de los objetivos.del proceso de negocio son insuficientes para alinear a TI con los objetivos organizacionales. Aceptación es una estrategia que dispone el reconocimiento formal de la existencia de un riesgo y el monitoreo de ese riesgo. Las opciones A y C son objetivos. el departamento de SI debe tener: debe tener planes de largo y corto plazo que sean consistentes con los planes más amplios de la organización para alcanzar sus metas. un auditor de SI debería Un suplementando la evaluación financiera tradicional medidas para evaluar ladesatisfacción recomendar el uso de: proyectos. Un modelo de datos de empresa es un documento que debería revisar: define la estructura de datos de una organización y la forma en que se interrelacionan los datos. De manera similar. Ello recomendar el uso de: implica tanto un estado corriente como una representación de un futuro estado optimizado. Para asegurar su contribución a la realización de las metas generales de una organización. el auditor de SI debería tratar primero los requisitos legales y regulatorios. el Auditor de SI debería forma estructurada para facilitar la comprensión. Como los registros de actividad de la base de datos registran actividades realizadas por el Un administrador de base de datos está realizando las siguientes actividades.objetivos es una herramienta ayudardel a entregar Para ayudar a la administración a alcanzar la alineación entre TI y el negocio. los procesos internos y la capacidad de innovar. un auditor de SI cliente. Las no reflejan del necesariamente valor conducir y los activos. en una operación descentralizada. . Al tratar de completar una EA. y procedimientos específicos. El administrador de LAN puede reportarse al director de la IPF o. La autoevaluación del control. estándares y procedimientos organizacionales y luego revisar el implica acatamiento de estas los políticas. sin embargo. pero no tan crítico como una plan estratégico de deTIfunciones. La propiedad de la propiedad intelectual tendrá un costo El entrenamiento cruzado es un proceso de entrenar más de una persona para que realice un trabajo o Un auditor de SI que revisa una organización que usa prácticas de entrenamiento cruzado debe evaluar significativo y es un aspecto clave que debe ser definido en un contrato de outsourcing. y luego identificar las amenazas y la Un auditor de SI fue contratado para revisar la seguridad de un negocio electrónico (e-business). Los programas de concientización de la seguridad para los empleados puede prevenir la revelación no intencional de información sensitiva a personas ajenas. II Un auditor de SI debería preocuparse cuando un analista de telecomunicación: II Un auditor de SI encuentra que no todos los empleados tienen conocimiento de la política de seguridad de información de la empresa. ¿Cuál de lo siguiente del negocio serán cubiertas. es prudente hacer evaluar primero el riesgo de cualquier persona que conozca todas las partes de un sistema y las exposiciones La complejidad de las estructuras de TI igualada por la complejidad y entrejuego de responsabilidades y Un auditor ha sido asignado para revisar las estructuras de TI y las actividades potenciales relacionadas. B y D deberían ser discutidas con el director de sistemas (Chief Information Officer-CIO) y se debería entregar un reporte al director general (Chief Executive business en busca de vulnerabilidades. Las clasificaciones del personal y las políticas de compensaciones justas puede ser una problema moral. La opción A es incorrecta porque sólo la gerencia principal o los niveles altos del personal deben ser miembros de este comité debido a su misión estratégica. ¿Cuál sería la siguiente tarea? Officer. El contrato debe. la metodología de desarrollo no debería de real preocupación. Un auditor de SI que revisa un contrato de outsourcing de las instalaciones de TI esperaría que éste defina: Un comité de dirección de SI debe: Es importante llevar las actas detalladas de los comités de dirección para documentar las decisiones y las actividades del comité de dirección de SI. La capacitación es un control preventivo. de ese modo. De las opciones. que está afectada por prácticas de vacaciones /feriados. Monitorear el desempeño de los sistemas y rastrear los problemas como un resultado de los cambios de programa (opción A) pondría al Todos los empleados deben tener conocimiento de la política de seguridad de la empresa para prevenir la analista en una función de auto monitoreo.probabilidad de que ocurran. Para evaluar Un auditor de SI que revisa el plan estratégico de TI de una organización debería PRIMERO revisar: El segregación apropiada el plan estratégico de TI. De manera similar. existe para respaldar el plan de negocios de la organización.) El reporte debería incluir los hallazgos junto con las prioridades y los costos. El auditor de SI debe concluir que: II El auditor de SI debe identificar los activos. El entrenamiento cruzado reduce los riesgos resueltos en las opciones A. buscar vulnerabilidades. B y D. los programas de aplicación). II Un auditor de SI que realiza una revisión de los controles generales de las prácticas de gerencia de SI relativas al personal debería prestar particular atención a: II II II II II Cuando se realiza una revisión de los controles generales es importante que un auditor de SI preste atención al tema de la segregación de funciones. Las opciones A. La opción D es incorrecta porque para . La primera tarea del auditor de SI fue examinar cada aplicación existente de e. lo cual sería una obligación contractual específica. disponibilidad y seguridad puedan ser afectadas.e. La opción B no es una responsabilidad de este comité sino la responsabilidad del administrador de seguridad. el auditor de SI necesitaría primero familiarizarse con el plan de negocios. evaluar el impacto de la carga de red o los tiempos de respuesta de las terminales y las velocidades de transferencia de datos de red (opción C) y recomendar procedimientos y mejoras de balanceo de red (opción D). procedimiento específico. Las políticas y el cumplimiento de vacaciones obligatorias puede variar dependiendo del país y de la industria. el hardware y el control de acceso de software generalmente es irrelevante mientras la funcionalidad. no un problema de control. provee la continuidad de las operaciones. y la junta directiva debe ser informada a su debido tiempo. la información que está siendo procesada. pero no tan potencialmente peligrosas debería el Auditor de SI determinar PRIMERO? como el entrejuego de las áreas diversas y críticas de responsabilidad contractual de los outsourcers.Las responsabilidades de un analista de telecomunicaciones incluyen requerimientos de carga de red en términos de volúmenes corrientes y futuros de transacciones (opción B). Esto provee el respaldo de personal en el caso de una ausencia y. al usar este método. Esta práctica ayuda a reducir la dependencia de una sola persona y asiste en la el riesgo de: planeación de la sucesión. La formación del personal es deseable. revelación no intencional de información sensitiva. Todas las otras opciones son importantes. Sin embargo.CEO. garantías puede afectar o invalidar la efectividad de esas garantías y la certeza razonable de que las necesidades recientemente seleccionadas (outsourced) para diversos proveedores. especificar quién es el dueño de la propiedad intelectual (i.. El método de abajo arriba para el desarrollo de las políticas operativas se deriva como resultado de la evaluación del riesgo.II II II II II II La función de un comité de seguimiento de TI es asegurar que el departamento de SI esté en armonía con la misión y los objetivos de la organización. sin embargo. La amortización se usa en un estado de ganancias y pérdidas. La opción A es incorrecta porque es la estrategia de TI la que extiende los objetivos de la organización. esto no se puede lograr hasta que exista un contrato.g. no a la inversa. El pago de facturas es una responsabilidad de la gerencia de TI de la organización? responsabilidad de finanzas. Los beneficios potenciales. en efecto. ayuda a asegurar consistencia en toda la organización y consistencia con otras políticas. Esta evaluación Un empleado de SI de largo plazo que cuenta con un antecedente técnico fuerte y conLa deberían ser cuantificados hasta donde sea posible. Un ROI es computado cuando partes1del hay ahorros o ingresos predecibles. las estructuras y procesos organizacionales que aseguren que la TI de la erosión de la imagen pública debido a un ataque de hacker) situación que no es probable que cambie. La determinación de si se debe contratar a esta persona para esta posiciónasignaciones y responsabilidades del puesto de trabajo. uno llegará a una evaluación que no está bien respaldada. enfoquey evaluar cualitativo. Asegurar que se disponga de . esospráctica requerimientos. Para evaluar las pérdidas potenciales el equipo debería: (e. II Una organización que adquirió otros negocios continúa utilizando sus sistemas heredados de EDI. con la estrategia del negocio. yLos acuerdos escritos asistirían a la gerencia a asegurar el cumplimiento de los requerimientos usa tres proveedores separados de red de valor agregado (VAN). Analizar la funcionalidad adicional propuesta. de mayor reputación y mayor moral del personal son difíciles de cuantificar. que pueden ser comparados con la inversión que se necesita para realizar los ingresos. cuando es difícil calcular pérdidasno financieras. es mundo. son aspectos demasiado estrechos en su alcance para asegurar que los procesos de TI están. Los beneficios directos por lo general comprenden los beneficios financieros cuantificables que se espera que el nuevo sistema genere. las probabilidades representan la probabilidad de que ocurra una amenaza y los impactos representan el efecto o resultado de una amenaza que explota una vulnerabilidad. El gobierno de TI no es una disciplina aislada. ¿Cuál de los siguientes es Administrar/Gestionar activamente el cumplimiento de los términos del contrato para los servicios externalizados (outsourced) es responsabilidad de la gerencia de TI. Un método de arriba abajo por sí mismo no asegura que las políticas sean revisadas. Emplear el tiempo necesario para definir exactamente la suma total es por lo general un Un gobierno efectivo de TI requiere que la junta y la gerencia ejecutiva extiendan el gobierno Un gobierno efectivo de TI requiere estructuras y procesos organizacionales para asegurar que: enfoque incorrecto. El auditor de SI debe recomendar a la gerencia que: monitoreo. II Una organización ha hecho un outsourcing de su desarrollo de software. como por ejemplo TI. tener beneficios de negocio claramente definidos para permitir el cálculo de los beneficios. Las inversiones de TI no deberían hacerse sólo por debería considerar factores tales como las relaciones personales. auditoría de SI. Derivar políticas de nivel de general las políticas corporativas (un método de arriba abajo) Un método de arriba abajo para el desarrollo de las políticas operacionales ayudará a asegurar: debe convertirse en parte integralinferior del gobierno de la empresa. pérdidas derivadas de la a TI y provean el liderazgo. Si ha sido difícil estimar las pérdidas potenciales (e. El hecho que el empleado haya trabajado en SI por muchos años no puede por sí mismo asegurar la credibilidad. pero independencia debería ser constantemente evaluada por el auditor y la gerencia. un impacto muy bajo para el negocio y 5 es un impacto muy alto). Estos beneficios por TI es: lo general caen en dos categorías: directos e indirectos o suaves. Mientras que la gerencia debe obtener garantía independiente de cumplimiento. Un aspecto de administrar servicios de terceros es proveer para la VAN. y al organización sostiene y extiende las estrategias y objetivos de la organización y que la estrategia está en armonía final del día.g. La negociación del acuerdo contractual ya habría ocurrido y por lo general es una responsabilidad compartida del departamento legal y de otros departamentos. ello no se puede lograr hasta que exista un contrato. no para computar las pérdidas potenciales.. los intereses financieros y previas amplia experiencia gerencial ha aplicado para una posición vacante en el departamento deconsideración a la nueva tecnología sino que deberían basarse en una necesidad de negocio cuantificable.. Para asegurar esto. y evaluar tanto la estabilidad del software como la complejidad de la tecnología. Un comité de seguimiento de TI revisaría los sistemas de información PRIMARIAMENTE para determinar: II Una opción deficiente de contraseñas y transmisión a través de líneas de comunicación no protegidas Las vulnerabilidades representan características de recursos de información que pueden ser explotados por una amenaza. soportando las Un caso comprensivo de negocio para cualquier inversión de negocio propuesta relacionada con TI debería Un ejemplo de un beneficio directo a derivarse de una propuesta inversión de negocio relacionada con metas de la organización. la duración dellasservicio asegurará laescompetencia las Un equipo que lleva a cabo un análisis de riesgo está teniendo dificultad para proyectar las pérdidas en el que el gerente afectado por el riesgo define la pérdida financiera en términos de un factor ponderado calificaciones de una persona basándose en la edad de la persona no es un buen criterio y es ilegal en muchas financieras que podrían resultar de riesgo. Las necesidades del debería basarse en la experiencia de la persona y en: departamento de auditoría deberían ser definidas y cualquier candidato debería ser evaluado contra La común. el comité debe determinar si los procesos de TI soportan los requerimientos del negocio. Las amenazas son circunstancias o eventos con el potencial de causar daño a los son ejemplos de: recursos de información. tomar un técnica. Además. No existe ningún acuerdo escrito externos. Todo el correo electrónico generado en el hardware de una organización es propiedad de la organización y una política de correo electrónico debe resolver la retención de mensajes. exponiendo información y datos sensitivos al riesgo de daños maliciosos. que define el riesgo como el "potencial de que una cierta amenaza se aproveche de la vulnerabilidad de un activo o de un grupo de activos para causar pérdida o daño a los activos. que tiene como consecuencia la pérdida de información sensitiva. La prevalencia de demandas en las que la estructura de correo electrónico. considerando tanto los litigios conocidos como los impredecibles. reconstrucción y reutilización. hace de la retención de correspondencia electrónica una necesidad. La falta de una funcionalidad adecuada de seguridad en este contexto es una vulnerabilidad. activo e impacto. las leyes y regulaciones pueden requerir que una organización mantenga Una política exhaustiva y efectiva de correo electrónico debería resolver los problemas de información que tenga un impacto en los estados financieros. Outsourcing es un acuerdo contractual por el cual la organización entrega el control sobre una parte o sobre Una probable ventaja para una organización que ha efectuado outsourcing a su procesamiento de servicios de datos es que: la totalidad del procesamiento de información a una parte externa. Esto se hace con frecuencia para adquirir recursos o experiencia adicionales que no se obtiene desde el interior de la organización. ataque o acceso no autorizado por hackers. ." Los diversos elementos de la definición son vulnerabilidad. monitoreo y: comunicación de correo electrónico es mantenida en el mismo sentido que el formulario oficial de clásico &ldquo. ejecución de políticas. La política debería también ocuparse de la destrucción de correos electrónicos después de un tiempo especificado para proteger la naturaleza y la confidencialidad de los mensajes mismos. Una definición suscinta del riesgo es suministrada por las Directivas para la Gerencia de Seguridad de TI publicadas por la Organización Internacional para la Estandarización (ISO). La falta de controles adecuados de seguridad representa: La falta de controles adecuados de seguridad representa una vulnerabilidad. amenaza.II II II Además de ser una buena práctica. Considerar el tema de la retención en la política de correo electrónico facilitaría la recuperación. que podría conducir a la pérdida de plusvalía (goodwill) para la organización.documento&rdquo.
Copyright © 2024 DOKUMEN.SITE Inc.