Preguntas CISA

Pregunta
Las responsabilidades de un auditor de SI de detectar el fraude incluye evaluar los indicadores de fraude y decidir si es necesaria alguna
Despus de la investigacin inicial, un auditor de SI
tiene motivos para creer que puede estar en presencia accin adicional o si se debe recomendar una investigacin. El auditor de SI debe notificar a las autoridades apropiadas dentro de la
organizacin solamente si ha determinado que los indicadores de fraude son suficientes para recomendar una investigacin. Normalmente,
de fraude. El auditor de SI debe:
el auditor de SI no tiene autoridad para consultar con un asesor legal externo.
La ventaja PRIMARIA de un enfoque continuo de

auditora es que:
Cul de las opciones siguientes es la tcnica de

auditora MS efectiva para identificar
violaciones a la segregacin de funciones en
una nueva implementacin de un sistema de
planificacin de recursos de empresa (ERP)?
El estatuto de auditora de SI de una organizacin

debera especificar:
Reespuesta adecuada
El uso de tcnicas continuas de auditora puede en realidad mejorar la seguridad del sistema cuando se usa en entornos
que comparten el tiempo que procesan un gran nmero de transacciones, pero dejan muy pocas pistas de papel. La opcin
A es incorrecta ya que el enfoque de auditora continua a menudo requiere que un auditor de SI recolecte evidencia sobre la
confiabilidad del sistema mientras est llevando a cabo el procesamiento. La opcin B es incorrecta ya que un auditor de SI
normalmente revisara y dara seguimiento slo a las deficiencias materiales o errores detectados. La opcin D es incorrecta
ya que el uso de tcnicas de auditora continua depende efectivamente de la complejidad de los sistemas de computadora de una organizacin.
Debido a que el objetivo es identificar violaciones a la segregacin de funciones, es necesario definir la lgica que
identificar los conflictos en la autorizacin. Se podra desarrollar un programa para identificar estos conflictos. Un informe de
derechos de seguridad en el sistema de planificacin de los recursos de la empresa (ERP) sera voluminoso y requerira mucho tiempo
para su revisin; por lo tanto, esta tcnica no es tan efectiva como la creacin de un programa. A medida que las complejidades aumentan, se
vuelve ms difcil verificar la efectividad de los sistemas, y la complejidad no est vinculada por s sola a la segregacin de funciones. Es
buena prctica revisar los casos recientes de violacin de derechos; sin embargo, pudiera requerir una cantidad de tiempo
significativa el verdaderamente identificar cules violaciones resultaron realmente de una segregacin inapropiada de funciones.
El estatuto de auditora de SI establece el rol de la funcin de auditora de sistemas de informacin. El estatuto debera
describir la autoridad general, el alcance y las responsabilidades de la funcin de auditora. Debera ser aprobado por el ms alto
nivel de gestin y, de estar disponible, por el comit de auditora. La planificacin de corto y largo plazo es responsabilidad de
la gestin de auditora. Los objetivos y el alcance de cada auditora de SI deberan acordarse en una carta de compromiso. La gestin de
auditora debera desarrollar un plan de entrenamiento, basado en el plan de auditora.
Los estndares de auditora requieren que un auditor de SI recopile evidencia de auditora suficiente y apropiada. El auditor descubri un
Un auditor de SI est realizando una auditora a un
problema potencial y ahora necesita determinar si se trata de un incidente aislado o una falla sistemtica de control. En este punto es
servidor de copias de respaldo administrado desde
demasiado pronto para emitir un hallazgo de auditora; la accin de solicitar una explicacin a la gerencia es aconsejable, pero sera
una ubicacin remota. El auditor de SI revisa los
mejor recopilar evidencia adicional para evaluar apropiadamente la seriedad de la situacin. Una falla de respaldo, que no se ha
logs de un da y descubre un caso en el cual el
establecido en este punto, es seria si involucra datos crticos. Sin embargo, el asunto no es la importancia de los datos presentes en el
inicio de sesin en un servidor fall con el
servidor donde se detect un problema, sino la posibilidad de que exista una falla sistemtica de control que tenga un impacto en otros
resultado de que no se pudo confirmar los reinicios
servidores.
de la copia de respaldo. Qu debera hacer el
auditor?
Un Contrato de auditora debera:
Un contrato de auditora debera establecer los objetivos de la gerencia para, y la delegacin de autoridad a la auditora
de SI. Este contrato no debera cambiar de manera significativa con l tiempo y debera ser aprobado al nivel ms alto de la gerencia. El
contrato de auditora no estara a un nivel de detalle y por lo tanto no incluira objetivos o procedimientos especficos de auditora.
Un auditor de SI revisa un organigrama

PRIMARIAMENTE para:
Un organigrama provee informacin sobre las responsabilidades y la autoridad de personas en la organizacin. Esto ayuda al auditor de SI a
saber si hay una segregacin apropiada de funciones. Un diagrama de flujo de trabajo proporcionara informacin sobre las funciones de
diferentes empleados. Un diagrama de red proveer informacin sobre el uso de diversos canales de comunicacin e indicar la conexin de
los usuarios a la red.
En una auditora de SI de varios servidores crticos, elLas herramientas de deteccin de tendencias /varianzas buscan anomalas en el comportamiento de usuarios o del sistema, por
ejemplo, determinando para los documentos prenumerados si los nmeros son secuenciales o incrementales. Las herramientas CASE se
auditor quiere analizar las pistas de auditora para
usan para asistir en el desarrollo de software. El software integrado de recoleccin de datos (auditora) se usa para tomar muestras y para
descubrir potenciales anomalas en el
comportamiento de usuarios o del sistema. Cul de proveer estadsticas de produccin. Las herramientas heursticas de escaneo se pueden usar para escanear en busca de virus para indicar
las herramientas siguientes es la MS adecuada para cdigos posiblemente infectados.
realizar esa tarea?
Un auditor de SI emite un reporte de auditora sealando la falta de funciones de proteccin de firewall en Cuando un auditor de SI recomienda un vendedor especfico,
el gateway perimetral de red y recomienda un producto de vendedor para resolver esta vulnerabilidad. El auditor de SI ellos comprometen la independencia profesional. La independencia
organizacional no tiene relevancia con respecto al contenido de un
no ha ejercido:
reporte de auditora y debe ser considerado en el momento de aceptar
el compromiso. La competencia tcnica y profesional no es relevante
Un control de revisin de aplicaciones implica la evaluacin de los
Un auditor de SI que realiza una revisin de los controles de aplicacin evaluara:
para el requisito de independencia.
controles automatizados de la aplicacin y una evaluacin de
cualesquiera exposiciones resultantes
de
las
debilidades
del
control. Las otras opciones pueden ser objetivos de una
auditora
de aplicacin
perodenoSI forman
de sobre
una planificar
auditora
El Lineamiento
de Auditora
G15 de parte
ISACA
Mientras se planifica una auditora, se debe hacer una evaluacin del riesgo para proveer:
restringida
a
una
revisin
de
controles.
los estados de auditora de SI, "Se debe hacer una evaluacin
del riesgo para proveer aseguramiento razonable de que los puntos
materiales sern cubiertos de manera adecuada durante el trabajo de
auditora. Esta evaluacin debe identificar las reas con una riesgo
Dada una tasa esperada de error y nivel de confianza, el muestreo
Un auditor de SI debe usar muestreo estadstico, y no muestreo de opiniones (no estadstico) cuando:
relativamente elevado de la existencia de problemas materiales."
estadstico es un mtodo objetivo de muestreo, que ayuda a un auditor
El aseguramiento definido de que los puntos materiales estarn
de SI a determinar el tamao de la muestra y a cuantificar la
cubiertos durante el trabajo de auditora es una proposicin imprctica.
probabilidad de error (coeficiente de confianza). La opcin B es
El aseguramiento razonable de que todos los puntos sern cubiertos
incorrecta aporque el riesgo de muestreo es el riesgo de que una
Comparar
los totales
de control
delalos
datos importados
durante el trabajo
de auditora
no es
respuesta
correcta, ya con
que los
Un auditor de SI ha importado datos de la base de datos del cliente. El paso siguiente para confirmar si los datos
muestra no sea representativa de la poblacin. Este riesgo existe tanto
totales
de
control
de
los
datos
originales
es
el
siguiente
paso
lgico,
ya
puntos materiales necesitan ser cubiertos, no todos los puntos.
importados estn completos se lleva a cabo:
para las muestras de opinin como para las estadsticas. La opcin C es
que esto confirma la integridad de los datos importados. No es posible
incorrecta porque el muestreo estadstico no requiere el uso de
confirmar la totalidad (completeness) clasificando los datos importados,
software generalizado de auditora. La opcin D es incorrecta porque
porque los datos originales pueden no estar en el orden de clasificacin.
la tasa
tolerable
de un
errores
debe
ser
predeterminada
tanto
para el
primera
que
auditor
de totales
SI debe
despus
de detectar
Adems
la cosa
clasificacin
no
provee
dehacer
control
para verificar
la
Mientras lleva a cabo una auditora, un auditor de SI detecta la presencia de un virus. Cul debe ser el paso siguiente del La
muestreo
de
opinin
como
para
el
estadstico.
el
virus
es
alertar
a
la
organizacin
sobre
su
presencia,
luego
auditor de SI?
totalidad (completeness). Revisar una impresin de
esperar
su respuesta.
La opcin
A debecon
ser emprendida
de la
100 registros
de datos
originales
100 registrosdespus
de datos
opcin
C.
Esto
permitir
al
auditor
de
SI
examinar
el
funcionamiento
importados es un proceso de verificacin fsica y confirma la
real y la eficacia
sistemaregistros
de respuesta.
Un auditor
de SI no
debe hacer
correccin
de delestos
solamente.
Filtrar
datos
para
Durante la recoleccin de evidencia forense, cul de las acciones siguientes tiene MS posibilidades de causar la
Reiniciar el sistema puede causar un cambio en el estado del sistema y
cambios
al
sistema
que
est
auditando;
asegurar
la
eliminacin
del
virus
diferentes categoras y compararlos con los datos originales
destruccin o corrupcin de evidencia en un sistema comprometido?
la prdida de archivos y evidencia importante almacenados en la
es la responsabilidad
la gerencia.
an
requerira quedese
desarrollen los totales de control para
memoria. Las otras opciones son acciones apropiadas para preservar la
confirmar la totalidad de los datos.
evidencia.
Cul de las opciones siguientes es el beneficio clave de la autoevaluacin de control (CSA)?
Cul de las siguientes formas de evidencia para el auditor se considerara la MS confiable?
El objetivo de la autoevaluacin de control es inducir a la

gerencia del negocio a estar ms consciente de la importancia
del control interno y de su responsabilidad en trminos del
gobierno corporativo. La reduccin de los gastos de auditora
no es un beneficio clave de la autoevaluacin de control
La
evidencia
obtenida
de fuentes
externas
es por lo pero
general
(CSA).
Una mejor
deteccin
de fraude
es importante,
no
ms
confiable
que
la y obtenida
tanto como
la propiedad,
no es un desde
objetivo dentro
principaldede la
la
organizacin.
Las
cartas
de
confirmacin
recibidas
desde
el
exterior,
CSA. La CSA puede ofrecer informacin ms detallada a los
como
por ejemplo
las usadas
para verificar
balances un
de cuentas
por
auditores
internos,
permitiendo
que los
asuman
rol ms
cobrar,
son
por
lo
general
altamente
confiables.
La
prueba
realizada
consultivo; sin embargo, este es un beneficio adicional, no el
Los diagramas de flujo de datos son usados por los Los diagramas de flujo de datos se usan como ayudas para graficar o diagramar el flujo y almacenamiento de datos, con ellos se rastrean los datos desde su
origen hasta su destino, resaltando las rutas y el almacenamiento de los datos. Los diagramas de flujo no ordenan los datos en ningn orden jerrquico.
Auditores de SI para:
El flujo de los datos no coincidir necesariamente con ningn orden jerrquico o de generacin de datos.
En una auditora de una aplicacin de

inventario,qu enfoque proveera la MEJOR
evidencia de que las rdenes de compra son
vlidas?
Para determinar la validez de una orden de compra, probar los controles de acceso proveer la mejor evidencia. Las opciones B y C se basan en
enfoques posteriores a los hechos, mientras que la opcin D no sirve el propsito porque lo que est en la documentacin de sistema puede no ser lo
mismo que lo que est ocurriendo.
Cul de los siguientes mtodos de muestreo es el

MS til cuando se pone a prueba su
cumplimiento?
El muestreo de atributos es el mtodo primario de muestreo que se usa para comprobar el cumplimiento. El muestreo de atributos es un modelo de muestreo que
se usa para estimar la tasa de ocurrencia de una calidad especifica (atributo) en una poblacin y se usa en la comprobacin de
cumplimiento para confirmar si esta calidad existe o no. Las otras elecciones se usan en comprobaciones substantivas que involucran la comprobacin de detalles
Observando el personal de SI cuando realiza sus tareas, el auditor de SI puede identificar si ellos estn realizando operaciones no compatibles y entrevistando el personal de SI el
o cantidad.
Qu tcnica de auditora provee la MEJOR

evidencia de la segregacin de funciones en un
departamento de SI?
auditor puede obtener un panorama general de las tareas realizadas. Basado en las observaciones y entrevistas, el auditor puede evaluar la segregacin de funciones. La gerencia no
puede estar en conocimiento de las funciones detalladas de cada empleado en el departamento de SI, por lo tanto, la discusin con la gerencia proveera solo informacin limitada
respecto a la segregacin de funciones. Un organigrama no proveera detalles de las funciones de los empleados y la prueba de los derechos de usuario proveera
informacin sobre los derechos que ellos tienen dentro de los sistemas de SI, pero no
proveera informacin completa sobre las funciones que ellos desempean.
Las decisiones y las acciones de un auditor es

MS probable que afecten a cul de los riesgos
siguientes?
Un riesgo de deteccin est directamente afectado por la seleccin, por parte del auditor, de los procedimientos y tcnicas de auditora. Los riesgos inherentes por
lo general no estn afectados por el auditor de SI. Un riesgo de control es controlado por las acciones de la gerencia de la compaa.
Los riesgos financieros no estn afectados por el auditor de SI.
Una accin correctiva ha sido tomada por un

auditado inmediatamente despus de la
identificacin de un hallazgo que debera ser
reportado. El auditor debe:
Incluir el hallazgo en el reporte final es una prctica de auditora generalmente aceptada. Si se emprende una accin despus de que comenz la auditora y
antes de que terminara, el reporte de auditora debe identificar el hallazgo y describir la accin correctiva tomada. Un reporte de auditora debe
reflejar la situacin, tal como sta exista en el comienzo de la auditora. Todas las acciones correctivas emprendidas por el auditado deben ser reportadas por
escrito.
Durante una auditora de control de cambiosUn proceso de gestin de cambios es crtico para los sistemas de produccin de TI.Antes de recomendar que la organizacin tome alguna otra accin
de un sistema en produccin, un auditor de(por ejemplo, interrumpir las migraciones, redisear el proceso de gestin de cambios), el auditor de SI debera obtener garanta de que los incidentes
SI descubre que el proceso de administracinreportados se relacionan con deficiencias en el proceso de gestin de cambios y que no fueron causados por algn proceso diferente a la gestin de cambios.
de cambios no est documentado formalmente
y que algunos procedimientos de migracin
Cul
de las
siguientes
opciones
fallaron.
Qu
debera
hacersera
el normalmente
auditor deLa evidencia obtenida de terceros independientes casi siempre es considerada la ms confiable. Las respuestas B, C y D no serian consideradas confiables.
la evidencia MS confiable para un auditor?
SI a continuacin?
El propsito PRIMARIO de una auditora forense

de TI es:
La opcin B describe una auditora forense. La evidencia recolectada podra utilizarse posteriormente en procesos judiciales. Las auditoras forenses
no se limitan a fraude corporativo. Evaluar la exactitus de los estados financieros de una organizacin no es el propsito de una auditora
forense. Llegar a la conclusin de que se registr un delito sera parte de un proceso legal y no el objetivo de una auditora forense.
El aprovechamiento de un ID y contrasea de usuario conocidos requiere mnimos conocimientos tcnicos y expone los
Un auditor de SI est evaluando una red corporativa en busca de una recursos de la red a la explotacin
posible penetracin por parte de empleados internos. Cul de los
(maliciosa). La barrera tcnica es baja y el impacto puede ser muy elevado; por lo tanto, el hecho de que muchos IDs de
hallazgos siguientes debera preocupar MS al auditor de SI?
usuario tengan contraseas idnticas representa la mayor amenaza. Los mdems externos representan un riesgo de seguridad,
pero la explotacin o aprovechamiento an depende del uso de una cuenta vlida de usuario. Mientras que el impacto
de los usuarios
que instalan
computadoras
puedeantes
ser de
elevado
puede
elevado,es (por
ejemplo,
Comunicar
la posibilidad
de software
conflicto endesusinters
a la gerencia
comenzar
la ser
asignacin
la respuesta
Un auditor de SI que particip en el diseo del plan de continuidad del negocio
debido a la
de Caballos un
de Troya
o programas
de inters,
key-logging),
la probabilidad
es elevada debido
al nivela de
correcta.
Seinstalacin
debera comunicar
posible
conflicto de
que pudiera
afectar lanoindependencia
del auditor,
la
(BCP) de una empresa, ha sido asignado para auditar el plan. El auditor de SI
conocimientos
tcnicos
que se
requiere para
penetrarlaexitosamente
a la
A pesar correcta,
que el monitoreo
de podra
red puede
ser un
gerencia
antes de
comenzar
la asignacin.
Rechazar
asignacin no
es red.
la respuesta
porque se
aceptar
la
debera:
control de deteccin
til,obtener
slo detectar
el abuso dedelacuentas
de Informar
usuario enacircunstancias
especiales
y porconflicto
lo tanto de
no inters
es una
asignacin
despus de
la aprobacin
gerencia.
la gerencia sobre
el posible
primera lnea
defensa. la asignacin de auditora no es la respuesta correcta, porque se debera obtener la
despus
de de
completar
noconfidencialidad
despus de completar
la asignacin.
Informar alLas
equipo
planificacin
de continuidad
Mientras revisaba los papeles de trabajo electrnico sensitivos, el auditor aprobacin
La encripcinantes
pruebay la
de los papeles
de trabajo electrnicos.
pistas de auditora,
las aprobaciones
de ladel
negocio
sobre
el posible
conflicto
iniciar la
es la respuesta
correcta,
porque
el equipo
de SI not que los mismos no estaban encriptados. Esto podra
etapa de (BCP)
auditora
y el acceso
a los
papeles de
de inters
trabajo,antes
por sdemismos,
noasignacin
afectan la no
confidencialidad
sino
que forman
parte
del
de
BCP
no
tiene
la
autoridad
para
decidir
sobre
este
asunto.
comprometer:
motivo para requerir la encripcin.
La razn PRIMARIA por la que un auditor de SI realiza un recorrido funcional

durante la fase preliminar de una asignacin de auditora es:
Al planear una auditora, el paso MS crtico es la identificacin de:
Cul de los siguientes es una ventaja de una prueba integrada (ITF)?
Entender el proceso de negocio es el primer paso que un auditor de SI necesita realizar. Las normas no requieren que un
auditor de SI efecte un recorrido de proceso. Identificar las debilidades de control no es la razn primaria para el recorrido y
tpicamente ocurre en una etapa posterior en la auditora. Planear pruebas sustantivas se realiza en una etapa posterior de la
auditora.
Cuando se disea un plan de auditora, es importante identificar las reas de ms alto riesgo para determinar
las reas a ser auditadas. Los conjuntos de habilidades del personal de auditora deberan haberse considerado antes de
decidir y de escoger la auditora. Los pasos de prueba para la auditora no son tan crticos como identificar las
reas de riesgo, y el tiempo asignado para una auditora est determinado por las reas a ser auditadas, las
cuales son primariamente seleccionadas con base en la identificacin de los riesgos.
Una prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prueba simultneamente
con la entrada en vivo. Su ventaja es que las pruebas peridicas no requieren procesos separados de prueba. Sin
embargo, es necesaria una planeacin cuidadosa y los datos de prueba deben ser aislados de los datos de produccin.
Un auditor de SI evala los resultados de prueba de una modificacin a un sistemaEl auditor de SI debera luego examinar casos donde ocurrieron clculos incorrectos y confirmar los resultados.
que trata con cmputo de pagos. El auditor encuentra que el 50% de los clculosDespus de que los clculos hayan sido confirmados, ms pruebas pueden ser llevadas a cabo y revisadas. La
no coinciden con los totales predeterminados. Cul de los siguientes es MSpreparacin de reportes, hallazgos y recomendaciones no se hara hasta que todos los resultados fueran confirmados.
probable que sea el siguiente paso en la auditora?
Si el auditado esta en desacuerdo en cuanto al impacto de un hallazgo, es importante que el auditor de SI elabor, clarifique y
de a conocer los riesgos que el auditado no ha valorado y la magnitud de su exposicin. El objetivo deberia ser mostrar al
auditado o descubrir nueva informacin que el auditor de SI no haya contemplado. Cualquier cosa que parezca
una amenaza para
el auditado
reducir la efectividad de
la comunicacin
y establece una relacin
controvetida. Por el mismo punto, un auditor de SI no deberia ponerse de acuerdo automticamente con el
auditado
auditor cuando
de SI exprese
debe tomar
su punto
la decisin
de vista
finaldiferente.
respecto a qu incluir o excluir del informe de auditora. Las otras
La decisin final de incluir un hallazgo material en un informe de auditora debe ser El
tomada por el:
opciones limitaran la independencia del auditor.
Durante una entrevista final, en los casos en que hay desacuerdo con respecto al
impacto de un hallazgo, un auditor de SI debe:
Cuando hay una indicacin de que una organizacin podra estar usando software sin licencia, el auditor
de SI debe obtener evidencias suficientes antes de incluirlo en el informe. Con respecto a este asunto,
las manifestaciones obtenidas de la gerencia no pueden ser verificadas de manera independiente. Si la
organizacin est usando software que no tiene licencia, el auditor, para mantener objetividad e independencia,
debe incluir esto en el informe.
La tcnica de gancho de auditora implica integrar el cdigo en los sistemas de aplicacin para el examen de
Cul de las siguientes tcnicas de auditora en lnea es MS efectiva para la deteccin temprana de
las transacciones seleccionadas. Esto ayuda a un auditor de SI a actuar antes de que un error o una
errores o irregularidades?
irregularidad se salgan de control. Un mdulo integrado de auditora implica integrar software
escrito especialmente en el sistema anfitrin de aplicacin de la organizacinl de modo que los sistemas de
aplicacin sean monitoreados de manera selectiva. Una prueba integrada se usa cuando no es prctico usar
Las caractersticas del software generalizado de auditora incluyen cmputos matemticos,
El vicepresidente de recursos humanos ha solicitado una auditora para identificar los
datos de prueba, y las instantneas o snapshots se usan cuando se requiere una pista de auditora.
estratificacin, anlisis estadstico, verificacin de secuencia, verificacin de duplicados y reclculos.
sobrepagos de planilla/nmina para el ao anterior.
El auditor de SI, usando software generalizado de auditora, podra disear pruebas apropiadas
Cul sera la MEJOR tcnica de auditora para usar en esta situacin?
para recalcular la planilla/nmina y, de ese modo, determinar si hubo sobrepagos, y a quines
fueron efectuados. Los datos de prueba probaran si existen controles que pudieran impedir los
El
objetivo pero
primario
un programa
de autoevaluacin
de controlanteriores.
(CSA) es
la
sobrepagos,
no de
detectaran
los errores
de clculo especficos
Ni apalancar
una prueba
El xito de la autoevaluacin de control (CSA) depende grandemente de:
funcin
de
auditora
interna
cambiando
algunas
de
las
responsabilidad
de
monitoreo
de
control
integrada ni un mdulo integrado de auditora detectaran errores para un perodo anterior.
a los gerentes de lnea de rea funcional. El xito de un programa de CSA depende del grado al que los
gerentes de lnea asumen responsabilidad de los controles. Las opciones B, C y D son caractersticas de un
enfoque tradicional de auditora, no un enfoque de CSA.
El mtodo basado en el riesgo est diseado para asegurar que el tiempo de auditora sea
Cul de los siguientes es un beneficio de un mtodo de planeacin de auditora basado en el riesgo?
empleado en las reas de mayor riesgo. El desarrollo de un cronograma de auditora no est dirigido
por un mtodo basado en el riesgo. Los cronogramas de auditora pueden ser preparados con meses de
anticipacin usando diversos mtodos de cronograma. Un mtodo de riesgo no tiene una correlacin directa
con que el personal de auditora cumpla con los cronogramas en una auditora en particular, ni quiere decir
Las normas de auditora de ISACA requieren que un auditor de SI planee el trabajo de auditora
Durante la etapa de planificacin de una auditora de SI, la meta PRIMARIA de un auditor de SI es: necesariamente que una variedad ms amplia de auditoras se llevar a cabo en un ao dado.
para resolver los objetivos de auditora. La opcin B es incorrecta porque el auditor no recoge
evidencia en la etapa de planificacin de una auditora. Las opciones C y D son incorrectas porque no son
las metas primarias de la planificacin de auditora. Las actividades descritas en las opciones B, C y D son
todas emprendidas para resolver los objetivos de auditora y, de ese modo, son secundarias a la opcin A.
La CSA se predica sobre la revisin de las reas de alto riesgo que o bien necesitan atencin inmediata o una
Un beneficio PRIMARIO para una organizacin que emplea tcnicas de auto evaluacin de
revisin ms exhaustiva en una fecha posterior. La respuesta B es incorrecta porque la CSA requiere la
controles (control self-assessment-CSA), es que ella:
participacin de tanto los auditores como la gerencia de lnea. Lo que ocurre es que la funcin de
auditora interna pasa algunas de las responsabilidades de monitoreo de control a las reas funcionales. La
respuesta
C es incorrecta
CSA
es un de
reemplazo
las auditoras
tradicionales. de
Laauditora.
CSA no
Los procedimientos
son porque
procesoslaque
unnoauditor
SI puedede seguir
en un compromiso
reemplazar
las
responsabilidades
de
la
auditora,
sino
aumentarlas.
La
respuesta
D
es
incorrecta
Cuando selecciona los procedimientos de auditora, un auditor de SI debe usar su juicio profesional pretende
Para determinar si cualquier procedimiento especfico es apropiado, un auditor de SI debe usar un
para asegurar que:
porque
CSA no permite
que la gerencia
su responsabilidad
juicio la
profesional
apropiado
a las delegue
circunstancias
especficas.de controlar.
El juicio profesional implica una
A pesar de que la gerencia ha dicho otra cosa, un auditor de SI tiene motivos para creer que la
organizacin est usando software que no tiene licencia. En esta situacin, el auditor de SI debe:
Cul de los siguientes es un atributo del mtodo de autoevaluacin de control (CSA)?
evaluacin subjetiva y a menudo cualitativa de las condiciones que surgen en el curso de una auditora. El
juicio se ocupa de un rea gris donde las decisiones binarias
El
de autoevaluacin
de control
(CSA)
nfasis enpasada
la administracin
y enjuega
la obligacin
de rendir
(s mtodo
/no) no
son apropiadas
y donde
la hace
experiencia
del auditor
un papel
clave
cuentas
de desarrollar
monitorear
los controles
de los proveen
procesosinformacin
de negocio sobre
de una
organizacin.
en
hacer
un juicio. y Los
lineamientos
de ISACA
cmo
satisfacer Los
las
atributos
de CSAse incluyen:
empleados
continuo,las extensa
participacin
y
normas cuando
efecta un
trabajo facultados,
de auditoramejoramiento
de SI. Identificar
debilidades
materiales
entrenamiento
empleados,
todo lo experiencia
cual son manifestaciones
amplia y
participacin
de los
es
el resultadodedelos
competencia
apropiada,
y prolijidad en de
planificar
ejecutar la auditora
interesados.
Las opciones
C y D son Elatributos
de un mtodo
de primario
auditora.para los aspectos
y
no el resultado
de juicioB,profesional.
juicio profesional
no tradicional
es un input
La prueba de cumplimiento determina si los controles se estn aplicando de acuerdo con las
Un auditor de SI est revisando el acceso a una aplicacin para determinar si los 10
polticas. Esto incluye pruebas para determinar si las nuevas cuentas fueron debidamente autorizadas.
formularios "nuevo usuario" ms recientes fueron correctamente autorizados. Este es un
El muestreo de variables se usa para estimar los valores numricos, tales como valores de
ejemplo de:
dlar. La prueba sustantiva sustancia la integridad del procesamiento real, como por ejemplo los
saldos de los estados financieros. El desarrollo de pruebas sustantivas depende a menudo del
La mejor fuente de la cual extraer cualquier ejemplo o prueba de un sistema de informacin es
Cul de las siguientes sera la MEJOR poblacin de la cual tomar una muestra cuando un programa resultado de las pruebas de cumplimiento. Si las pruebas de cumplimiento indican que hay controles internos
el
sistema entonces
automatizado.
Las bibliotecas
produccin
representan
ejecutables
que estn
aprobados
y
en pruebas cambia?
adecuados,
las pruebas
sustantivasde
se pueden
minimizar.
El muestreo
stop-or-go
permite
que una
autorizados
para
procesar
los
datos
de
la
organizacin.
Los
listados
de
programa
fuente
serian
intensivos
en
el
prueba sea detenida lo antes posible y no es apropiada para verificar si se han seguido los procedimientos.
tiempo. Las solicitudes de cambio de programa son los documentos usados para iniciar el cambio. No hay
ninguna garanta de que hayan sido elaboradas las solicitudes para todos los cambios. Los listados de biblioteca
Durante una revisin de implementacin de una aplicacin distribuida multiusuario, elLas debilidades individualmente son de menor importancia, sin embargo, juntas tienen el potencial
de prueba no representan los ejecutables aprobados y autorizados.
auditor de SI encuentra debilidades menores en tres reas-La disposicin inicial de parmetrosde debilitar sustancialmente la estructura general de control. Las opciones A y D reflejan una falla de
est instalada incorrectamente, se estn usando contraseas dbiles y algunos reportes vitales no separte del auditor de SI para reconocer el efecto combinado de la debilidad de control. Advertir al
estn verificando debidamente. Mientras se prepara el informe de auditora, el auditor de SI debera: gerente local sin reportar los hechos y observaciones ocultara los hallazgos de los otras partes interesadas.
El estndar de ISACA sobre "informes" requiere que el auditor de SI tenga evidencias de auditora
suficientes y apropiadas para soportar los resultados que se reportan. Las declaraciones de la gerencia de SI
proveen una base para obtener concurrencia sobre asuntos que no pueden ser verificados con
evidencia emprica. El informe debe basarse en evidencias recogidas durante el curso de la revisin aunque
el auditor pueda tener acceso a los documentos de trabajo de otros auditores. Los resultados de una
Si las respuestas dadas a las preguntas de un auditor de SI no estn confirmadas por procedimientos
Un auditor de SI que entrevista a un empleado de planilla encuentra que las
autoevaluacin de control organizacional (CSA) podran complementar los hallazgos de auditora. Se podra
documentados o descripciones de puestos de trabajo, el auditor de SI debe expandir el alcance de las
respuestas no respaldan las descripciones de los puestos de trabajo y los procedimientos
hacer referencia a las opciones A, B y C durante una auditora pero, por ellas mismas, no seran consideradas
pruebas de los controles e incluir ms pruebas sustantivas. No hay evidencia de que
documentados. Bajo estas circunstancias, el auditor de SI debe:
una base suficiente para emitir un informe.
cualesquiera sean los controles que pudieran existir son o bien inadecuados o adecuados. Poner mayor
confianza en las auditoras anteriores o suspender la auditora son acciones inapropiadas ya que no proveen
Una evaluacin completa del riesgo determina el nivel apropiado para un nivel dado de riesgo, mientras que el
La PRINCIPAL ventaja del enfoque de evaluacin del riesgo sobre el enfoque de lnea base para conocimiento actual de la adecuacin de los controles existentes.
enfoque de la lnea base aplica meramente un conjunto estndar de proteccin independientemente del
la gerencia de seguridad de informacin es que ste asegura que:
riesgo. Hay una ventaja de costo en no sobreproteger la informacin. Sin embargo una ventaja an mayor es
asegurarse que ningn activo de informacin esta sobre ni protegido de manera insuficiente. El enfoque de
la evaluacin del riesgo asegurar que se aplique un nivel de proteccin apropiado al nivel de riesgo y al valor
Un auditor de SI tiene un objetivo, aseguramiento independiente y relativamente completo de cambios de
del activo, y por lo tanto, toma en cuenta el valor del activo. El enfoque de lnea base permite que ms recursos
En el proceso de evaluar los controles de cambio de programa, un auditor de SI usara software de
programa porque la comparacin de cdigos fuente identificar los cambios. La opcin B es incorrecta porque
comparacin de cdigo fuente para:
sean dirigidos hacia los activos que estn en mayor riesgo de dirigir los recursos a todos los activos.
los cambios hechos desde la adquisicin de la copia no estn incluidos en la copia del software. La opcin C es
incorrecta ya que un auditor de SI tendr que obtener este aseguramiento separadamente. La opcin
D
incorrecta
porquedecualquier
entre
tiempo revisar
en que se
adquiri
la copia
control para
y se
El es
Software
genrico
auditoracambio
(GAS)hecho
permite
al elauditor
todo
el archivo
dede
facturas
Cul de las opciones siguientes debera utilizar un auditor de SI para detectar registros duplicados hace la comparacin del cdigo fuente no ser detectado.
buscar los elementos que cumplan con los criterios de seleccin. El muestreo de atributos ayuda a
de facturas dentro de un archivo maestro de facturas?
identificar los registros que cumplen con condiciones especficas, pero no compara un registro con
otro para identificar duplicados. Para detectar registros duplicados de facturas, el auditor de SI debera
verificar todos los elementos que cumplan con los criterios y no simplemente una muestra de los
Uno de los factores clave a ser considerados mientras se evalan los riesgos relacionados con el uso de
Un auditor de SI est revisando la evaluacin del riesgo de la gerencia, de los sistemas elementos. Los datos de prueba se utilizan para verificar el procesamiento de programas, pero
diversos sistemas de informacin son las amenazas y las vulnerabilidades que afectan a los activos.
de informacin. El auditor de SI debe PRIMERO
no identifican registros duplicados. Una facilidad de prueba integrada (ITF) permite al auditor de SI
Los riesgos relacionados con el uso de activos de informacin deben ser evaluados aisladamente
revisar:
probar las transacciones de prueba a travs del sistema de produccin, pero no compara los registros para
de
los controles
instalados. De manera similar, la eficacia de los controles debe ser considerada durante
identificar
duplicados.
la etapa de mitigacin del riesgo y no durante la etapa de evaluacin del riesgo. Se debe establecer un
Cuando prepara un informe de auditora, el auditor de SI debe asegurarse que los resultados estn
soportados por:
En el curso de la realizacin de un anlisis de riesgo, un auditor de SI ha

identificado amenazas e impactos potenciales. Inmediatamente despus, un auditor de SI debe:
Es importante que un auditor de SI identifique y evale los controles y la seguridad existentes una vez que las
amenazas potenciales y los impactos posibles estn identificados. Al concluirse una auditora, un auditor de SI
debe describir y discutir con la gerencia las amenazas y los impactos potenciales sobre los activos.
Cuando se evala el diseo de los controles de monitoreo de red, un auditor de SI debe PRIMERO
revisar:
El primer paso para evaluar los controles de monitoreo de red debe ser la revisin de la
adecuacin de la documentacin de red, especficamente los diagramas de topologa. Si esta informacin
no estuviera actualizada, entonces los procesos de monitoreo y la capacidad para diagnosticar problemas no
ser efectiva.
Cul de las siguientes es la ventaja PRINCIPAL de usar software forense de computacin para las
investigaciones?
El objetivo primario del software forense es preservar la evidencia electrnica para satisfacer las reglas de
evidencia. La opcin B, los ahorros en tiempo y en costos, y la eficiencia y la eficacia, opcin C,
eficiencia y eficacia, son preocupaciones legtimas y diferencian a los paquetes buenos de los
paquetes deficientes de software forense. La opcin D, la capacidad de investigar las violaciones de los
derechos de propiedad intelectual, es un ejemplo de un uso de software forense.
Se puede comprometer la independencia si el auditor de sistemas est o ha estado involucrado
Se asigna a un auditor de sistemas para que realice una revisin de un sistema de
activamente en el desarrollo, adquisicin, e implementacin del sistema de aplicacin. Las opciones B y
aplicacin posterior a la implementacin. Cul de las siguientes situaciones puede haber
C son situaciones que no comprometen la independencia del auditor de sistemas. La opcin D es
comprometido la independencia del auditor de sistemas? El auditor de SI:
incorrecta porque la independencia del auditor de sistemas no compromete suministrando asesora sobre las
mejores prcticas conocidas.
Para determinar que slo se han realizado modificaciones autorizadas a los programas de
Cul de las opciones siguientes utilizara un auditor de SI para determinar si se realizaron
produccin, sera necesario revisar el proceso de gestin de cambios para evaluar la existencia de
modificaciones no autorizadas a los programas de produccin?
un rastro de evidencia documental. Las pruebas de cumplimiento ayudaran a verificar que el
proceso de gestin de cambios ha sido aplicado consistentemente. Es poco probable que el anlisis del log
de sistema provea informacin sobre la modificacin de programas. El anlisis forense es una tcnica
El alcance de una auditora de SI est definido por sus objetivos. Esto implica identificar las debilidades de
La razn MS importante para que un auditor de SI obtenga evidencias suficientes y apropiadas de especializada para investigacin criminal. Una revisin analtica evala el ambiente general de control de una
control relevantes para el alcance de la auditora. Obtener evidencias suficientes y apropiadas ayuda al auditor
auditora es:
organizacin.
a identificar las debilidades de control pero tambin a documentarlas y validarlas. Cumplir con los
requisitos regulatorios, asegurar la cobertura y la ejecucin de la auditora son todos relevantes para
una auditora pero no son la razn por la que se requiera evidencia suficiente y relevante.
Habilitar pistas de auditora ayuda a establecer la obligacin de rendir cuentas y la responsabilidad de las
El propsito PRIMARIO de las pistas de auditora es:
transacciones procesadas, rastreando transacciones a travs del sistema. El objetivo de habilitar software para
proveer pistas de auditora no es mejorar la eficiencia del sistema, ya que esto implica a menudo un
procesamiento adicional que puede en realidad reducir el tiempo de respuesta para los usuarios. Habilitar
pistas de auditora si implica almacenamiento y de eso modo ocupa espacio de disco. La opcin D es tambin
Al desarrollar una estrategia de auditora basada en el riesgo, es crtico que los riesgos y las vulnerabilidades
Cuando desarrolla una estrategia de auditora basada en el riesgo, un auditor de SI debe llevar a cabo una razn valida; sin embargo, no es la razn primaria.
sean entendidos. Esto determinar las reas a ser auditadas y el grado de cobertura. Entender si estn
una evaluacin del riesgo para asegurar que:
establecidos los controles apropiados requeridos para mitigar los riesgos es un efecto resultante de una
auditora. Los riesgos de auditora son aspectos inherentes de la auditora, estn directamente
relacionados con el proceso de auditora y no son relevantes para el anlisis del riesgo del entorno a
Una
sustantiva
incluyederecolectar
para evaluar
la integridad
de las transacciones
ser prueba
auditado.
Un anlisis
brechasevidencia
normalmente
se hara
para comparar
el estadoindividuales,
real con un
Una prueba sustantiva para verificar que los registros de inventario de biblioteca de cinta son
correctos es:
los
datos
y
otra
informacin.
Llevar
a
cabo
un
conteo
fsico
del
inventario
de
cintas
es
una
prueba
sustantiva.
estado esperado o deseable.
Las opciones A, B y D son pruebas de cumplimiento.
Monitorear el tiempo (la opcin A) y auditar los programas (opcin D), as como tambin un entrenamiento
adecuado (opcin B) mejorarn la productividad del personal de auditora de SI (eficiencia y
desempeo), pero lo que entrega valor a la organizacin son los recursos y esfuerzos que se dedican a,
y que estn enfocados sobre, las reas de mayor riesgo.
Para asegurar que los recursos de auditora entreguen el mejor valor a la organizacin, el PRIMER
paso sera:
El propsito PRIMARIO para reunirse con los auditados antes de cerrar formalmente una revisin es: El propsito PRIMARIO para reunirse con los auditados antes de cerrar formalmente una revisin
es llegar a un acuerdo sobre los hallazgos. Las otras opciones, a pesar de estar relacionadas con el cierre
formal de una auditora, son de importancia secundaria.
El grado hasta donde los datos sern recolectados durante una auditora de SI debe relacionarse
El grado hasta donde los datos sern recolectados durante una auditora de SI debera ser determinado
directamente con el alcance y el propsito de la auditora. Una auditora que tenga un propsito y un
basado en:
alcance estrechos lo ms probable es que tendra como consecuencia menos recoleccin de datos,
que una auditora que tuviera un propsito y un alcance ms amplios. El alcance de una auditora
de SI no debera ser restringido por la facilidad de obtener la informacin o por la familiaridad del
La
opcin
toma
la probabilidad
como lalaevidencia
magnitud requerida
del impacto
y provee
la
auditor
conA el
reaen
queconsideracin
est siendo tanto
auditada.
Recolectar toda
es un
elemento
El riesgo general del negocio para una amenaza en particular se puede expresar como:
mejor
medida
riesgo de
para
B provee
probabilidad
una
requerido
de undel
auditora
SI un
y el activo.
alcanceLa
de opcin
la auditora
no debenicamente
estar limitadolapor
la capacidaddedelque
auditado
amenaza
explote
una
vulnerabilidad
en
el
activo
pero
no
provee
la
magnitud
del
posible
dao
al
activo.
de encontrar evidencia relevante.
De manera similar, la opcin C considera solamente la magnitud del dao y no la posibilidad de
que una amenaza explote una vulnerabilidad. La opcin D define el riesgo sobre una base arbitraria y no es
El uso de software no autorizado o ilegal debe estar prohibido en una organizacin. La piratera de software
Un auditor de SI que lleva a cabo una revisin del uso y licenciamiento de software
adecuado para un proceso cientfico de administracin del riesgo.
tiene como consecuencia la exposicin inherente y puede resultar en severas multas. El auditor de SI debe
descubre que numerosas PCs contienen software no autorizado. Cul de las siguientes
convencer al usuario y a la gerencia del usuario sobre el riesgo y la necesidad de eliminar el riesgo. Un
acciones debera emprender el auditor de SI?
auditor de SI no debe asumir la funcin del oficial de cumplimiento ni asumir participacin
personal alguna para retirar o eliminar el software no autorizado.
Cul de las siguientes es la razn MS probable de por qu los sistemas de correo Los archivos de respaldo contienen documentos, que supuestamente han sido borrados, podran ser
recuperados de estos archivos. Los controles de acceso pueden ayudar a establecer responsabilidad de dar
electrnico se han convertido en una fuente til de evidencia en litigios?
cuenta de la emisin de un documento en particular, pero esto no provee evidencia del correo Electrnico. Las
normas de clasificacin de datos pueden haber sido fijadas respecto a lo que debera comunicarse por correo
electrnico, pero la creacin de la poltica no provee informacin requerida para fines de litigacin.
Una prueba sustantiva confirma la integridad del procesamiento real. Una prueba sustantiva
Cul de las siguientes es una prueba sustantiva?
determinara si los registros de la biblioteca de cintas estn establecidos correctamente. Una prueba
de cumplimiento determina si se estn aplicando los controles de una forma consistente con las
polticas y procedimientos de la gerencia. Verificar la autorizacin de los reportes de excepcin, revisar la
autorizacin para cambiar parmetros y revisar los reportes histricos de contrasea son todas pruebas de
Una
facilidad de prueba integrada se considera una herramienta til de auditora porque usa los mismos
Una prueba integrada (integrated test facility-ITF) se considera una herramienta til de auditora
cumplimiento.
programas
para comparar el procesamiento usando datos calculados de manera independiente. Esto implica
porque:
establecer entidades ficticias en un sistema de aplicacin y procesar datos de prueba o de produccin contra la
entidad como un medio de verificar el procesamiento adecuado.
Cuando se realiza una investigacin forense de computadora, con respecto a la evidencia
recolectada, la MAYOR preocupacin de un auditor de SI debe ser:
La preservacin y documentacin de evidencia para revisin por el organismo de cumplimiento y las

autoridades judiciales son la preocupacin primaria cuando se lleva a cabo una investigacin. No preservar
debidamente la evidencia podra poner en peligro la aceptacin de la evidencia en el proceso legal. El anlisis,
la evaluacin y la divulgacin son importantes pero no son la preocupacin primaria en una investigacin
Como el nombre no es el mismo (debido a variaciones de los primeros nombres), un mtodo

para detectar duplicaciones seria comparar otros campos comunes, como por ejemplo las direcciones
Y podra entonces seguidamente llevarse a cabo una revisin para determinar los nombres de los
clientes en estas direcciones. Buscar los nmeros de cuenta duplicados probablemente no hallara
duplicaciones de nombres ya que lo ms probable es que los clientes tengan nmeros de cuenta diferentes
de usuarioLosdedatos
sistema
operativo
de redtiles
incluyen
la disponibilidad
de
Un auditor de SI est efectuando una auditora de un sistema operativo de red. Cul Las
para funciones
cada combinacin.
de prueba
no seran
para detectar
la extensin en
de lnea
cualquier
documentacin
de
red.
Otras
funciones
seran
el
acceso
del
usuario
a
diversos
recursos
de
de las siguientes es una funcin de usuario que el auditor de SI debe revisar?
caracterstica de dato, sino simplemente para determinar como fueron procesados los datos.
anfitriones (hosts) de red, la autorizacin del usuario a tener acceso a recursos particulares y la
red y las computadoras anfitrionas (hosts) a ser usadas sin acciones o comandos especiales de usuario.
Las opciones B, C y D son ejemplos de funciones de sistemas operativos de red.
Preparar transacciones simuladas para procesar y comparar los resultados con resultados predeterminados es
El MEJOR mtodo de probar la exactitud de un sistema de clculo de impuestos es:
el MEJOR mtodo para probar la correccin de un clculo de impuestos. La revisin visual detallada, la
creacin de diagramas de flujo y el anlisis de cdigo fuente no son mtodos efectivos, y los totales mensuales
no resolveran la exactitud de clculos individuales de impuestos.
Durante una revisin de un archivo maestro de clientes, un auditor de SI descubri
numerosas duplicaciones de nombre de cliente que surgan de variaciones en los primeros
nombres del cliente. Para determinar la extensin de la duplicacin, el auditor de SI usara:
Cuando se evala el efecto colectivo de los controles preventivos de deteccin o correctivos dentro Un auditor de SI debera concentrarse en cuando los controles son ejercidos como flujos de
datos a travs del sistema de computadora. La opcin B es incorrecta ya que los controles correctivos
de un proceso, un auditor de SI debera estar consciente:
pueden ser tambin relevantes. La opcin C es incorrecta ya que los controles correctivos eliminan o reducen
los efectos de los errores o irregularidades y son considerados
exclusivamente como
controles
compensatorios. La opcin D es incorrecta e irrelevante ya que la existencia y funcin de los controles es
Una comparacin automtica de cdigos es el proceso de comparar dos versiones del ejemplo de programa
Cul de las siguientes tcnicas de auditora ayudara MS a un auditor a determinar si ha habido importante, no la clasificacin.
para determinar si las dos corresponden. Es una tcnica eficiente porque es un procedimiento automtico.
cambios no autorizados de programa desde la ltima actualizacin autorizada de programa?
Las corridas de prueba de datos permiten al auditor verificar el procesamiento de transacciones
preseleccionadas, pero no proveen evidencias sobre porciones no ejercitadas de un programa. La revisin
de cdigos es el proceso de leer listados de cdigo fuente de programa para determinar si el cdigo
Cuando evala los controles de acceso lgico, un auditor de SI debe primero obtener un entendimiento del riesgo
contiene errores potenciales o declaraciones ineficientes. Una revisin de cdigos puede usarse como
Un auditor de SI que evala los controles de acceso lgico debe PRIMERO:
de seguridad que enfrenta el procesamiento
un
de comparacin
pero es ineficiente.
revisin deaveriguaciones,
los procedimientos
de migracin
de
de medio
informacin
revisandodelacdigos
documentacin
relevante,Lamediante
y llevando
a cabo
cdigos
no detectara
una evaluacin
del cambios
riesgo. deLaprograma.
documentacin y la evaluacin es el segundo paso para determinar la
adecuacin, la eficiencia y la eficacia identificando as las deficiencias o la redundancia en los controles. El
Preguntar a los programadores sobre los procedimientos que se estn funcionando.
siguiendo actualmente
Finalmente, es
el
Un Auditor de sistemas que trate de determinar si el acceso a la documentacin de programas tercer paso es probar las vas de acceso-para determinar si los controles
til
para
determinar
si
el
acceso
a
la
documentacin
de
programas
est
restringido
a
las
personas
auditor
de
SI
evala
el
entorno
de
seguridad
para
determinar
si
es
adecuado
revisando
las
polticas
escritas,
est restringido a las personas autorizadas, lo
autorizadas.
Evaluar
planes de con
retencin
de prcticas
registrosapropiadas
para almacenamiento
fuera de las
MS probable es que:
observando las
prcticaslos
y comparndolas
las mejores
de seguridad.
instalaciones pone a prueba los procedimientos de recuperacin, no el control de acceso a la
documentacin de programas. Probar los registros de utilizacin no resolver la seguridad de acceso a
de los principales
objetivos Probar
de una laauditora
identificar
riesgos de
potenciales;
lo tanto,
Durante una auditora de seguridad de procesos de TI, un auditor de SI encontr que no haba Uno
la documentacin
de programas.
seguridades de
acceso alos
archivos
datos nopor
resuelve
la
el
mtodo
ms
proactivo
sera
identificar
y
evaluar
las
prcticas
existentes
de
seguridad
que la
procedimientos de seguridad documentados. El auditor de SI debe:
seguridad de la documentacin de programas.
organizacin est siguiendo. Un auditor de SI no debe preparar documentacin, y si lo hiciera, su
independencia estara en peligro. Dar por terminada la auditora puede impedir que se logren los
objetivos de la auditora, es decir, la identificacin de los riesgos potenciales. Como no hay
No reportar una intrusin es equivalente a un auditor de SI que esconde una intrusin maliciosa, lo
Cul de las siguientes debe ser la MAYOR preocupacin para un auditor de SI?
procedimientos documentados, no hay base contra la cual probar el cumplimiento.
cual sera un error profesional. A pesar de que puede requerirse la notificacin a la polica y que la falta
de un examen peridico de derechos de acceso podra ser una preocupacin, ellos no representan
una preocupacin tan grande como la de dejar de reportar un ataque. Reportar al pblico no es un
No reportar una intrusin es equivalente a un auditor de SI que esconde una intrusin maliciosa,
lo cual sera un error profesional. A pesar de que puede requerirse la notificacin a la polica y que la
falta de un examen peridico de derechos de acceso podra ser una preocupacin, ellos no
representan una preocupacin tan grande como la de dejar de reportar un ataque. Reportar al pblico no
es un requisito y depende del deseo de la organizacin o de la falta del mismo de hacer saber sobre la
archivos de respaldo contienen documentos, que supuestamente han sido borrados, podran ser
Cul de las siguientes es la razn MS probable de por qu los sistemas de correo Los
intrusin.
recuperados
de estos archivos. Los controles de acceso pueden ayudar a establecer responsabilidad de dar
cuenta de la emisin de un documento en particular, pero esto no provee evidencia del correo Electrnico. Las
normas de clasificacin de datos pueden haber sido fijadas respecto a lo que debera comunicarse por
correo electrnico, pero la creacin de la poltica no provee informacin requerida para fines de litigacin.
Cul de las siguientes es la ventaja PRINCIPAL de usar software forense de computacin para las El objetivo primario del software forense es preservar la evidencia electrnica para satisfacer las
reglas de evidencia. Los ahorros en tiempo y en costos, opcin B, y la eficiencia y la eficacia, opcin
investigaciones?
C, son preocupaciones legtimas y diferencian a los paquetes buenos de los paquetes deficientes de
software forense. La capacidad de investigar las violaciones de los derechos de propiedad intelectual, opcin D,
es un ejemplo de un uso de software forense.
determinara si los registros de la biblioteca de cintas estn establecidos correctamente. Una
prueba de cumplimiento determina si se estn aplicando los controles de una forma consistente
con las polticas y procedimientos de la gerencia. Verificar la autorizacin de los reportes de excepcin,
revisar la autorizacin para cambiar parmetros y revisar los reportes histricos de contrasea son todas
La
evidencia
obtenida de fuentes externas es por lo general ms confiable que la obtenida
pruebas
de cumplimiento.
desde dentro de la organizacin. Las cartas de confirmacin recibidas desde el exterior, como por
ejemplo las usadas para verificar los balances de cuentas por cobrar, son por lo general altamente confiables.
La prueba realizada por un auditor no puede ser confiable si el auditor no tenia un buen entendimiento del rea
tcnica bajo revisin.
Cul de las siguientes herramientas de auditora es la MS importante para un auditor de SI cuando Una herramienta de instantnea (snapshot) es ms til cuando se requiere una pista de auditora. ITF puede
usarse para incorporar transacciones de prueba en una corrida normal de produccin. CIS es til cuando las
se requiere una pista de auditora?
transacciones que renen ciertos criterios necesitan ser examinadas. Los ganchos de auditora son tiles
cuando slo se necesita examinar transacciones o procesos escogidos.
Cul de las siguientes opciones sera normalmente la evidencia MS confiable para un auditor?
La evidencia obtenida de terceros independientes casi siempre es considerada la ms confiable. Las respuestas
B, C y D no serian consideradas confiables.
Una prueba de cumplimiento determina si los controles estn operando como se disearon y si
Cul de las siguientes pruebas es realizada por un auditor de SI cuando es seleccionada
estn siendo aplicados en tal forma que cumplan con las polticas y procedimientos de gerencia.
una muestra de programas para determinar si las versiones fuentes y las versiones objeto son
Por ejemplo, si al auditor de SI le preocupa si los controles de biblioteca de programas
las mismas?
estn funcionando correctamente, el auditor de SI podra seleccionar una muestra de programas para
determinar si las versiones fuente y las versiones objeto son las mismas. En otras palabras, el principal objetivo
Cul de las siguientes sera la MEJOR poblacin de la cual tomar una muestra cuando un programa de cualquier prueba de cumplimiento es proveer a los auditores una garanta razonable de que un control en
el
sistemaenautomatizado.
Las planea
bibliotecas
de est
produccin
ejecutables
que estn
aprobados
y
en pruebas cambia?
particular
el que el auditor
basarse
operandorepresentan
como el auditor
lo percibi
en la
evaluacin
autorizados
preliminar. para procesar los datos de la organizacin. Los listados de programa fuente serian intensivos en el
Cul de las siguientes tcnicas en lnea es ms efectiva para la deteccin temprana de errores o
irregularidades?
Cul de los mtodos de muestreo es el MS til cuando se pone a prueba su cumplimiento?
Cul de los siguientes describe MEJOR una prueba integrada (integrated test facility-ITF)?
Cul de los siguientes es el MAYOR desafo al utilizar datos de prueba?
La tcnica del gancho de auditora implica integrar cdigo en los sistemas de aplicacin para el examen de
transacciones seleccionadas. Esto ayuda al auditor de SI a actuar ante un error o una irregularidad se
sale de control. Un modulo integrado de auditora implica integrar software escrito especialmente en el
sistema anfitrin de aplicacin de la organizacin para que los sistemas de aplicacin sean
monitoreados de manera selectiva. Una facilidad integrada de prueba se usa cuando no es prctico usar datos
El
muestreo
de instantneas
atributos es oelsnapshots
mtodo primario
de muestreo
que se
para
de prueba,
y las
se usan cuando
se requiere
unausa
pista
de comprobar
auditora. el cumplimiento. El
muestreo de atributos es un modelo de muestreo que se usa para estimar la tasa de ocurrencia de una
calidad especifica (atributo) en una poblacin y se usa en la comprobacin de cumplimiento
para confirmar si esta calidad existe o no. Las otras elecciones se usan en comprobaciones substantivas que
involucran la comprobacin de detalles o cantidad.
La respuesta A describe mejor una prueba integrada (integrated test facility-ITF), que es un proceso de
auditora especializado asistido por computadora que permite que auditor de SI pruebe una aplicacin
de manera continua. La respuesta B es un ejemplo de un archivo de revisin de control de
sistemas; las respuestas C y D son ejemplos de instantneas.
La eficacia de los datos de prueba est determinada por la extensin de la cobertura de todos los controles
clave a ser probados. Si los datos de prueba no cubren todas las condiciones vlidas y no vlidas, hay
un riesgo de que la debilidad de control relevante pueda seguir sin ser detectada. Los cambios en el
programa, por el perodo cubierto por la auditora, pueden haberse efectuado para depurar o para funcionalidades
adicionales. Sin embargo, como el mtodo de datos de prueba involucra la prueba de datos para el
El mtodo basado en el riesgo est diseado para asegurar que el tiempo de auditora sea
Cul de los siguientes es un beneficio de un mtodo de planeacin de auditora basado en el riesgo? perodo de auditora, los cambios en el programa probado pueden tener un impacto mnimo. Las
empleado
reas de mayor
riesgo.
El desarrollo
un cronograma
de auditora adicionales.
no est dirigido
aplicacionesenconlasla tecnologa
actual por
lo general
no son de
afectadas
por las transacciones
Los
por
basado
en el riesgo.
cronogramas
de auditora
pueden que
ser el
preparados
con sea
meses
datosundemtodo
prueba son
desarrollados
por Los
el auditor,
sin embargo,
no es necesario
procesamiento
bajode
la
anticipacin
diversos
de cronograma.
Un mtodo
de riesgo
directa con
supervisin usando
de un auditor,
yamtodos
que los datos
de entrada sern
verificados
por no
lostiene
datosuna
de correlacin
salida
que
el personal de auditora cumpla con los cronogramas en una auditora en particular, ni quiere decir
(outputs).
Los
objetivos de
losuna
programas
incluyen
la educacin
para laa cabo
gerencia
deao
lnea
en responsabilidad del
Cul de los siguientes es un objetivo de un programa de auto evaluacin de control (CSA)?
necesariamente
que
variedad CSA
ms amplia
de auditoras
se llevar
en un
dado.
control, seguimiento y concentracin de todos en las reas de alto riesgo. Los objetivos de los
programas de CSA incluyen el aumento de las responsabilidades de auditora, no el reemplazo
de las responsabilidades de auditora. Las opciones C y D son herramientas de CSA y no objetivos.
Una prueba integrada crea una entidad ficticia en la base de datos para procesar transacciones de prueba
simultneamente con la entrada en vivo. Su ventaja es que las pruebas peridicas no requieren procesos
separados de prueba. Sin embargo, es necesaria una planeacin cuidadosa y los datos de prueba deben ser
aislados de los datos de produccin.
Cul de los siguientes pasos realizara PRIMERO un auditor de SI normalmente en una revisin de
seguridad del centro de datos?
Durante la planeacin, el auditor de SI debera obtener una visin general de las funciones que estn siendo
auditadas y evaluar los riesgos de auditora y de negocios. Las opciones A y D son parte del proceso de trabajo
de campo de la auditora que ocurre posterior a esta planeacin y preparacin. La opcin C no es parte de una
revisin de seguridad.
La prueba de integridad de dominio est dirigida a verificar que los datos se ajusten a las
Cul de los siguientes podra ser usado por un auditor de SI para validar la efectividad de las rutinas definiciones, i.e., los elementos de datos estn todos en los dominios correctos. El objetivo principal
de edicin y de validacin?
de este ejercicio es verificar que las rutinas de edicin y de validacin estn funcionando de manera
satisfactoria. Las pruebas de integridad relacional se realizan a nivel del registro y por lo general implican
calcular y verificar diversos campos computados , tales como los totales de control. Las verificaciones de
Las decisiones y las acciones de un auditor es MS probable que afecten a cul de los riesgos
siguientes?
Qu tcnica de auditora provee la MEJOR evidencia de la segregacin de funciones en un

departamento de SI?
A travs de todas las fases de un trabajo de auditora, el Auditor de SI debe concentrarse en:
Al llevar a cabo una auditora, un auditor de SI detecta la presencia de un virus. Cul debe ser el
siguiente paso del auditor de SI?
Un riesgo de deteccin est directamente afectado por la seleccin, por parte del auditor, de los procedimientos y
tcnicas de auditora. Los riesgos inherentes por lo general no estn afectados por el auditor de SI.
Un riesgo de control es controlado por las acciones de la gerencia de la compaa. Los riesgos
financieros no estn afectados por el auditor de SI.
Observando el personal de SI cuando realiza sus tareas, el auditor de SI puede identificar si ellos estn realizando
operaciones no compatibles y entrevistando el personal de SI el auditor puede obtener un panorama general de las
tareas realizadas. Basado en las observaciones y entrevistas, el auditor puede evaluar la segregacin de
funciones. La gerencia no puede estar en conocimiento de las funciones detalladas de cada empleado en el
departamento de SI, por lo tanto, la discusin con la gerencia proveera solo informacin limitada respecto a la
segregacin
Un organigrama
proveera
detalles de que
las funciones
de los empleados
la
A travs
de todas de
lasfunciones.
fases de la auditora
de SI, elno
auditor
debe asegurarse
haya documentacin
adecuada.yLa
prueba de delosevidencias,
derechos elde
usuarioy las
proveera
sobre
los enderechos
tienen
dentro
recoleccin
muestreo
pruebasinformacin
sustantivas no
ocurren
todas lasque
fasesellos
de una
auditora;
de que
los sistemas
SI,evidencias
pero no
por ejemplo, la fase de reporte no requiere la recoleccin de evidencias, sino
utilizaradelas
proveera informacin
recolectadas
en una fase
completa
anterior sobre
del proceso
las funciones
de auditora.
que ellos desempean.
Lo primero que un auditor de SI debe hacer despus de detectar el virus es alertar sobre su presencia a la
organizacin, luego esperar la respuesta de sta. La opcin A se debe emprender despus de la opcin C.
Esto permitir al auditor de SI examinar la funcionalidad y la efectividad del sistema de respuesta. El auditor
de SI no debe hacer cambios al sistema que est siendo auditado, y asegurar la eliminacin del virus es una
responsabilidad de la gerencia.
Cuando se disea un plan de auditora, es importante identificar las reas de ms alto riesgo para
determinar las reas a ser auditadas. Los conjuntos de habilidades del personal de auditora deberan
haberse considerado antes de decidir y de escoger la auditora. Los pasos de prueba para la auditora no
son tan crticos como identificar las reas de riesgo, y el tiempo asignado para una auditora est
determinado por las reas a ser auditadas. Las cuales son primariamente seleccionadas con base en la
El auditor de SI es en ltima instancia responsable ante la alta gerencia y ante el comit de auditora de
identificacin de los riesgos.
Cuando comunican los resultados de auditora, los auditores de SI deben recordar que en ltima
la junta directiva. Incluso si el auditor de SI debe discutir los hallazgos con el personal de gerencia de la
instancia ellos son los responsables ante:
entidad auditada (opcin B), ello se hace nicamente para obtener acuerdo sobre los hallazgos y para
desarrollar un curso de accin correctiva. La opcin C es incorrecta porque el director de auditora de SI debe
revisar el reporte que el auditor de SI prepar, pero no es la persona que tomar las decisiones respecto a los
Para desarrollar una estrategia de auditora basada en el riesgo, es crtico que se entiendan los
Cuando se est desarrollando una estrategia de auditora basada en el riesgo, un auditor de hallazgos y sus consecuencias potenciales. La opcin D es incorrecta porque la responsabilidad de reportar a las
riesgos y vulnerabilidades. Esto determinar las reas a ser auditadas y la extensin de la cobertura. Entender
SI debe llevar a cabo una evaluacin del riesgo para asegurar que:
autoridades judiciales descansara en la junta directiva y sus asesores legales.
si los controles apropiados requeridos para mitigar los riesgos estn instalados es un efecto resultante de
una auditora. Los riesgos de auditora son aspectos inherentes de la auditora, estn directamente
relacionados con el proceso de auditora y no son relevantes para el anlisis de riesgo del
El
primer
paso auditado.
para evaluar
los controles
de por
monitoreo
de lase red
debepara
ser comparar
la revisin
de la
entorno
a ser
El anlisis
de brecha
lo general
hara
el estado
adecuacin
documentacin
de red, especficamente los diagramas de topologa. Si esta informacin no
revisar:
real de un de
estado
esperado o deseable.
est actualizada, entonces los procesos de monitoreo y la capacidad para diagnosticar los problemas no sern
efectivos.
los efectos de los errores o irregularidades y son considerados exclusivamente como controles compensatorios.
El primer paso y el ms crtico en el proceso es identificar las reas de alto riesgo dentro de la
organizacin. Los gerentes del departamento de negocios y altos ejecutivos estn en las mejores posiciones
para ofrecer una opinin respecto a estas reas. Una vez que las reas potenciales de implementacin hayan
sido identificadas, se debera realizar una evaluacin del impacto potencial para identificar las
aplicaciones que proveen el mayor payback potencial a la organizacin. En este punto las pruebas y
y la documentacin
evidencias
a ser revisadas
por las
policiales Durante
y judiciales
los preservacin
umbrales razonables
objetivo dedeberan
determinarse
antes
de autoridades
la programacin.
el
Cuando se realiza una investigacin forense de computadora, respecto a las evidencias recolectadas,La
un auditor de SI debe preocuparse MS
es
una preocupacin
cuando
se llevay el
a formato
cabo unadeinvestigacin.
preservar
evidencias
desarrollo
de sistemas,primaria
se debe definir
la ubicacin
los archivos deNo
salida
(output) las
generados
por
de:
debidamente,
poner en peligro la aceptacin de las evidencias en los procesos legales. El anlisis, la
los programas podra
de monitoreo.
evaluacin y la revelacin son importantes pero no son de importancia primaria en una investigacin forense.
Cuando se implementan sistemas de monitoreo continuo el PRIMER paso de un auditor de SI es
identificar:
Los procedimientos son procesos posibles que un auditor de SI puede seguir en un trabajo de auditora. Para
determinar si algn procedimiento especfico es apropiado, el Auditor de SI debe usar su juicio profesional
apropiado para las circunstancias especficas. Juicio profesional implica una evaluacin subjetiva y a menudo
cualitativa de las condiciones que surgen en el curso de una auditora. El juicio se ocupa de un rea gris donde
las decisiones binarias (s/no) no son apropiadas y la experiencia pasada del auditor tiene una funcin
clavenormas
para emitir
un juicio.de Los
lineamientos
ISACA
proveen de
informacin
cmo satisfacer
los
Las
de auditora
ISACA
requierende que
un auditor
SI planeesobre
el trabajo
de auditora
Durante la etapa de planeacin de una auditora de SI, la meta PRIMARIA del auditor es:
estndares
cuando
lleva a de
caboauditora.
un trabajo
auditora
SI. La identificacin
de las no
debilidades
para
alcanzar
los se
objetivos
La de
opcin
B es de
incorrecta
porque el auditor
recoge
importantes en
es la
el etapa
resultado
de la competencia,
experiencia,
la minuciosidad
para planear
y
evidencias
de planeacin
de una laauditora.
Lasy opciones
C y D apropiada
son incorrectas
porque
ejecutar
auditora
y noprimarias
el resultado
de un juicio
Juicio
no es un en
insumo
primario
ellas
no lason
las metas
de planeacin
deprofesional.
una auditora.
Las profesional
actividades descritas
las opciones
B,para
Cy
losson
aspectos
financieros depara
la auditora.
D
todas emprendidas
resolver objetivos de auditora y son por ello secundarias frente a la opcin A.
Durante una auditora de seguridad de procesos de TI, un auditor de SI encontr que no haba Uno de los principales objetivos de una auditora es identificar los riesgos potenciales; por lo tanto, el
mtodo ms proactivo sera identificar y evaluar las prcticas existentes de seguridad que la organizacin
est siguiendo. Un auditor de SI no debe preparar documentacin, y si lo hiciera, su independencia
estara en peligro. Dar por terminada la auditora puede impedir que se logren los objetivos de
la auditora, es decir, la identificacin de los riesgos potenciales. Como no hay procedimientos
Durante una revisin de implementacin de una aplicacin distribuida multiusuario, elLas
debilidadesnoindividualmente
menor
importancia, sin embargo, juntas tienen el potencial
documentados,
hay base contra lason
cual de
probar
el cumplimiento.
auditor de SI encuentra debilidades menores en tres reas-La disposicin inicial de parmetrosde debilitar sustancialmente la estructura general de control. Las opciones A y D reflejan una falla de
est instalada incorrectamente, se estn usando contraseas dbiles y algunos reportes vitales no separte del auditor de SI para reconocer el efecto combinado de la debilidad de control. Advertir al
estn verificando debidamente. Mientras se prepara el informe de auditora, el auditor de SI debera: gerente local sin reportar los hechos y observaciones ocultara los hallazgos de los otras partes interesadas.
Cuando se seleccionan procedimientos de auditora, el Auditor de SI debe usar su juicio profesional
para asegurar que:
Durante una revisin de los controles sobre el proceso de definir los niveles de
servicios de TI, un auditor de SI entrevistara MS
probablemente al:

El departamento de SI de una organizacin quiere asegurarse de que los archivos de computadora

usados en la instalacin de procesamiento de informacin, estn respaldados adecuadamente para
permitir la recuperacin apropiada. Este es un:
Entender los requerimientos del negocio es clave para definir los niveles de servicio. Mientras que
cada una de las otras entidades enumeradas puede suministrar alguna definicin la mejor eleccin aqu es
el gerente de unidad de negocio, debido a los amplios conocimientos que tiene esta persona sobre los
requerimientos relacionados con la organizacin.
Como el nombre no es el mismo ( debido a variaciones de los primeros nombres ), un mtodo
para detectar duplicaciones seria comparar otros campos comunes, como por ejemplo las direcciones Y
podra entonces seguidamente llevarse a cabo una revisin para determinar los nombres de los
clientes en estas direcciones. Buscar los nmeros de cuenta duplicados probablemente no hallara
duplicaciones de nombres ya que lo mas probable es que los clientes tengan nmeros de cuenta diferentes
Los
de control de
especifican
el conjunto
mnimo
controles
para
asegurar ladeeficiencia
y
para objetivos
cada combinacin.
LosSIdatos
de prueba
no serian
tilesdepara
detectar
la extensin
cualquier
efectividad
operaciones
y funciones
dentro decomo
una fueron
organizacin.
Los los
procedimientos
de control se
caractersticaendelas
dato,
sino simplemente
para determinar
procesados
datos.
desarrollan para proveer una garanta razonable de que se lograran los objetivos especficos. Un control
correctivo es una categora de controles, que est dirigida a minimizar la amenaza y/o a remediar los
El objetivo primario de un programa de CSA es repaldar la funcin de auditora interna pasando algunas de las
responsabilidades de monitoreo de control a los gerentes de lnea del rea funcional. El xito de un
programa de autoevaluacin de control (CSA) depende del grado en el que los gerentes de lnea
asumen la responsabilidad de los controles. Las opciones B, C y D son caractersticas de un mtodo tradicional de
auditora, no de un mtodo de CSA.
El grado hasta donde los datos sern recolectados durante una auditora de SI debera ser determinado
basado en:
que una auditora que tuviera un propsito y un alcance mas amplios. El alcance de una auditora de
SI no debera ser restringidos por la facilidad de obtener la informacin o por la familiaridad del
Preparar
transacciones
simuladas
para procesar
resultados
con resultados
predeterminados
es el
auditor con
el rea que
esta siendo
auditada.y comparar
Recolectarlos
toda
la evidencia
requerida
es un elemento
MEJOR
para probar
de auditora
un clculo
de impuestos.
visual
la
requeridomtodo
de un auditor
de SI ylael correccin
alcance de la
no debe
estar limitadoLaporrevisin
la capacidad
deldetallada,
auditado de
creacin
de
diagramas
de
flujo
y
el
anlisis
de
cdigo
fuente
no
son
mtodos
efectivos,
y
los
totales
mensuales
encontrar evidencia relevante.
El xito de la autoevaluacin de control (CSA) depende en gran medida de:
La razn primaria para llevar a cabo auditoras de SI es determinar si un sistema salvaguarda los
activos y mantiene la integridad de los datos. Examinar libros de contabilidad es uno de los
procesos involucrados en una auditora de SI pero no es el propsito primario. Detectar fraudes
podra ser una consecuencia de una auditora de SI pero no es el propsito para el que se realiza una auditora de
SI.
Habilitar pistas de auditora ayuda establecer la obligacin de rendir cuentas y la responsabilidad de las
transacciones procesadas, rastreando transacciones a travs del sistema. El objetivo de habilitar software para
proveer pistas de auditora no es mejorar la eficiencia del sistema, ya que esto implica a menudo un
pistas de auditora si implica almacenamiento y de eso modo ocupa espacio de disco. La opcin D es tambin una
El contrato de auditora tpicamente establece la funcin y la responsabilidad del departamento de
razn valida; sin embargo, no es la razn primaria.
El propsito PRIMARIO de un contrato de auditora es:
auditora interna. Debera establecer los objetivos de la gerencia y la delegacin de autoridad al
departamento de auditora. Este se cambia muy pocas veces y no contiene el plan de auditora o
el proceso de auditora que es por lo general parte del plan anual de auditora, ni describe un
cdigo de conducta profesional ya que dicha conducta es fijada por la profesin y no por la gerencia.
El riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya Este es un ejemplo de riesgo de deteccin.
que los errores materiales no existen cuando en realidad existen, es un ejemplo de:
El objetivo PRIMARIO de una funcin de auditora de SI es:
El uso de procedimientos estadsticos de muestreo ayuda a minimizar el riesgo:
La opcin A toma en consideracin tanto la probabilidad como la magnitud del impacto y provee la
mejor medida del riesgo para un activo. La opcin B provee nicamente la probabilidad de que una
amenaza explote una vulnerabilidad en el activo pero no provee la magnitud del posible dao al activo.
que
una de
amenaza
explote
vulnerabilidad.
el riesgo
una base arbitraria
y no de
es
El riesgo
deteccin
esuna
el riesgo
de que La
el opcin
auditor Ddedefine
SI use
un sobre
procedimiento
inadecuado
adecuado
para
un
proceso
cientfico
de
administracin
del
riesgo.
prueba y concluya que los errores materiales no existen, cuando en realidad s existen. Usando
muestreo estadstico, un auditor de SI puede cuantificar con qu aproximacin debe la muestra
representar a la poblacin y debe cuantificar la probabilidad de error. El riesgo de muestreo es el riesgo de que
Las
caractersticas del
software
generalizado
de
auditora
incluyen
cmputos
matemticos,
estratificacin, anlisis estadstico, verificacin de secuencia, verificacin de duplicados y reclculos.
El auditor de SI, usando software generalizado de auditora, podra disear pruebas apropiadas para
recalcular la planilla/nmina y, de ese modo, determinar si hubo sobrepagos, y a quines fueron
efectuados. Los datos de prueba probaran si existen controles que pudieran impedir los sobrepagos,
importante
que un auditor
de SI de
identifique
evale los controles
y la Ni
seguridad
existentes
una vez que
pero
no detectaran
los errores
clculo y especficos
anteriores.
una prueba
integrada
ni las
un
En el curso de la realizacin de un anlisis de riesgo, un auditor de SI ha identificado Es
amenazas
potencialesdeyauditora
los impactos
posibles
estn para
identificados.
concluirse una auditora, un auditor de SI
mdulo integrado
detectaran
errores
un perodoAl
anterior.
amenazas e impactos potenciales. Inmediatamente despus, un auditor de SI debe:
debe describir y discutir con la gerencia las amenazas y los impactos potenciales sobre los activos.
En el proceso de evaluar los controles de cambio de programa, un auditor de SI usara software de

comparacin de cdigo fuente para:
En los casos en que hay desacuerdo, durante una entrevista de salida, respecto al impacto de un
hallazgo, el auditor de SI debe:
En un enfoque de auditora basado en el riesgo, un auditor de SI debera realizar primero una:
En un enfoque de auditora basado en el riesgo, un auditor de SI, adems del riesgo, estara
influenciado por la:
En un servidor crtico, un auditor de SI descubre un caballo de Troya que fue

producido por un virus conocido que explota una vulnerabilidad de un sistema operativo.
Cul de los siguientes debera hacer PRIMERO un auditor?
En una auditora de SI de varios servidores crticos, el auditor quiere analizar las pistas de auditora
para descubrir potenciales anomalas en el comportamiento de usuarios o del sistema. Cul de las
herramientas siguientes es la MS adecuada para realizar esa tarea?
En una auditora de una aplicacin de inventario, qu mtodo proveer la MEJOR evidencia de que
las rdenes de compra son vlidas?
El auditor tiene una garanta objetiva, independiente y relativamente completa de cambio de programa, ya que
la comparacin del cdigo fuente identificar los cambios. La opcin B no es cierta, ya que los cambios hechos
desde la adquisicin de la copia no estn incluidos en la copia del software. La opcin C no es cierta ya que el
Auditor de SI tendr que obtener esta garanta por separado. La opcin D no es cierta, ya que cualesquiera
cambios hechos y restaurados entre el tiempo en que la copia de control fue adquirida y en que se hace la
Si los auditados no estuvieran de acuerdo con el impacto de un hallazgo, es importante que el auditor de
comparacin de cdigo fuente no sern detectados.
SI elabore y aclare los riesgos y exposiciones, ya que es posible que los auditados no aprecien
totalmente la magnitud de la exposicin. La meta debe ser explicar a los auditados o descubrir
nueva informacin
de que
el auditor
de SI
puede
no
haber estado
en conocimiento.
Cualquier cosa
que parezca amenazar a los auditados
reducir las comunicaciones efectivas y
El
primer paso
un enfoque
de auditora
en el
riesgo es
establecer
una en relacin
adversa.
Por basada
la misma
razn,
el recolectar
auditor informacin
de SI no sobre
debeel negocio
aceptar
y
la industria paraporque
evaluarlos
losauditados
riesgos inherentes.
realizar
la evaluacin de los riesgos inherentes,
automticamente
expresen unDespus
punto dedevista
alterno.
el siguiente paso sera realizar una evaluacin de la estructura de control interno. Los controles serian
entonces probados sobre la base de los resultados de prueba, se realizaran las pruebas sustantivas y serian
evaluadas.
La existencia de controles internos y operativos tendr un peso sobre el enfoque de la auditora por el
auditor de SI. En un enfoque basado en el riesgo, el auditor de SI no se esta basando solamente en
el riesgo, sino tambin en los controles internos y operativos as como tambin en el conocimiento
de la compaa y del negocio. Este tipo de decisin de anlisis del riesgo puede ayudar a relacionar el anlisis
costo-beneficio del control con el riesgo conocido, permitiendo elecciones prcticas. La naturaleza de tcnicas
La
prioridad
es salvaguardar
el sistema; de
por
lo tanto,tienen
el auditor
de SI sobre
debera
sugerirde controles
de prueba
disponibles
y las manifestaciones
la Gerencia,
poco impacto
el enfoque
auditora
correctivos,
i.e., eliminar
El auditorde de
SI no es responsable
de investigardel
el puesto
virus. El
basado en el riesgo.
A pesareldecdigo.
que la estructura
la organizacin
y las responsabilidades
de auditor
trabajo
de
SI
puede
analizar
la
informacin
del
virus
y
determinar
si
ste
ha
afectado
el
sistema
operativo,
pero
esta
necesitan ser consideradas ellas no son consideradas directamente a menos que tengan un impacto en los controles
es una ytarea
investigativa que tendra lugar despus de asegurarse que el cdigo malicioso ha sido
internos
operativos.
eliminado. Instalar el parche que elimina la vulnerabilidad debe hacerlo el soporte tcnico.
Las herramientas de deteccin de tendencias /varianzas buscan anomalas en el comportamiento de usuarios
o del sistema, por ejemplo, determinando para los documentos prenumerados si los nmeros son
secuenciales o incrementales. Las herramientas CASE se usan para asistir en el desarrollo de software. El
software integrado de recoleccin de datos (auditora) se usa para tomar muestras y para proveer estadsticas de
produccin. Las herramientas heursticas de escaneo se pueden usar para escanear en busca de virus para indicar
Para
determinar
la validez
de la orden de compra, probar los controles de acceso proveer la mejor evidencia.
cdigos
posiblemente
infectados.
Las opciones B y C estn basadas en mtodos posteriores al hecho, y la opcin D no sirve al propsito
porque lo que est en la documentacin del sistema puede no ser lo mismo que lo que est
ocurriendo.
En esta situacin el auditor de SI debera informar a la gerencia sobre el perjuicio a la independencia para
llevar a cabo auditoras posteriores en el rea del auditado. Un auditor de SI puede realizar asignaciones
que no sean de auditora cuando la experiencia y conocimientos del auditor pueden ser de utilidad
para la gerencia; sin embargo, realizando la asignacin que no es de auditora, el auditor de SI no puede
llevar a cabo futuras auditoras del auditado ya que su independencia puede estar comprometida. Sin
El
lineamiento
de auditora de SI
el uso
anlisis
del riesgo
en la sugiera
planeacin
de auditoracontroles
expresa:
embargo,
la independencia
delsobre
auditor
no de
seunver
afectada
cuando
/recomiende
La evaluacin de riesgos es un proceso:
“Todas
las
metodologas
de
anlisis
de
riesgo
se
basan
en
juicios
subjetivos
en
ciento
momento
del
al auditado despus de la auditora.
proceso (por ejemplo, para asignar ponderaciones a los diversos parmetros.) El auditor de SI debe
identificar las decisiones subjetivas requeridas para usar una metodologa en particular y considerar si
estos juicios pueden hacerse y ser validos a un nivel apropiado de exactitud”.
La funcin del auditor de SI es asegurar que estn incluidos los controles requeridos. A menos
La funcin PRIMARIA de un auditor de SI durante la fase de diseo del sistema de un proyecto de
que est presente especficamente como un consultor, el auditor de SI no debera participar en diseos
desarrollo de aplicaciones es:
detallados. Durante la fase de diseo, la funcin primaria del auditor de SI es asegurar que estn incluidos los
controles. A menos que haya algn desvo potencial que reportar, al auditor de SI no le concierne el control de
proyecto en esta etapa.
Cuando se establecen los programas de CSA, los auditores de SI se convierten en profesionales
La funcin tradicional de un auditor de SI en una autoevaluacin de control (control self-assessmentde control interno y en facilitadores de evaluaciones. Los auditores de SI son los facilitadores y el
CSA) debe ser la de:
cliente (gerencia y personal) es el participante en el proceso de CSA. Durante un taller de CSA, en vez
de que el auditor de SI realice procedimientos detallados de auditora, debera conducir y orientar a los
clientes para evaluar su ambiente. Las opciones B, C y D no deben ser la funcin del auditor de SI. Estas
La PRINCIPAL ventaja del enfoque de evaluacin del riesgo sobre el enfoque de lnea base para funciones son ms apropiadas para el cliente.
enfoque de la lnea base aplica meramente un conjunto estndar de proteccin independientemente del
la gerencia de seguridad de informacin es que ste asegura que:
riesgo. Hay una ventaja de costo en no sobreproteger la informacin. Sin embargo una ventaja an mayor es
asegurarse que ningn activo de informacin esta sobre ni protegido de manera insuficiente. El enfoque de
la evaluacin del riesgo asegurara que se aplique un nivel de proteccin apropiado al nivel de riesgo y al valor
Entender
de negocio
el primer
paso
el Auditor
de SI
realizar.
no
del activo,ely proceso
por lo tanto,
toma en es
cuenta
el valor
del que
activo.
El enfoque
de necesita
lnea base
permiteLos
queestndares
ms recursos
La razn PRIMARIA de un auditor de SI que realiza un recorrido profesional durante la fase
requieren
quehacia
el auditor
realice
un recorrido
proceso.
Identificar
lasa debilidades
de los controles
preliminar de una asignacin de auditora es:
sean dirigidos
los activos
que estn
en mayor del
riesgo
de dirigir
los recursos
todos los activos.
no es la razn primaria para el recorrido y ocurre tpicamente en una etapa posterior en la auditora, y
planear las pruebas sustantivas tambin se hace en una etapa posterior en la auditora.
La alta gerencia ha solicitado que un auditor de SI asista a la gerencia departamental en
la implementacin de los controles necesarios. El auditor de SI debera:
La norma sobre responsabilidad, autoridad y obligacin de rendir cuentas expresa “La

La responsabilidad, autoridad y obligacin de rendir cuentas de las funciones de auditora de los
responsabilidad autoridad, y obligaciones de rendir cuentas de la funcin de auditora de los sistemas
sistemas de informacin estn debidamente documentadas en una carta o contrato de auditora
de informacin deben ser debidamente documentadas en una carta de auditora o carta
(Audit Charter) y DEBEN ser:
compromiso.” Las opciones B y C son incorrectas porque la carta de auditora debe ser
aprobada por la gerencia de mas alto nivel, no meramente por el departamento de auditora de los
El
uso de
de informacin,
tcnicas continuas
de auditora
puede enLas
realidad
mejorar
la seguridad
del sistema
sistemas
o del departamento
de usuarios.
metodologa
de planeacin
resultantes
deben
La ventaja PRIMARIA de un enfoque continuo de auditora es que:
cuando
se yusa
en entornos
quegerencia
comparten
tiempode que
procesan
un gran
de
ser revisadas
aprobadas
por la alta
y por el
el comit
auditora.
La opcin
D esnumero
incorrecta
transacciones,
pero
dejan
muy
pocas
pistas
de
papel.
La
opcin
A
es
incorrecta
ya
que
el
enfoque
porque la carta de auditora, una vez establecida no es revisada de manera rutinaria y debe ser cambiada
de
continua
a menudo
requiereexhaustivamente.
que un auditor de SI recolecte evidencia sobre la confiabilidad
soloauditora
si el cambio
puede ser,
y es, justificado
del sistema mientras est llevando a cabo el procesamiento. La opcin B es incorrecta ya que un auditor
La directriz para la auditora de SI sobre la planeacin de la auditora de SI establece: “Se
Los anlisis de riesgos realizados por los auditores de SI son un factor crtico para la planeacin de de SI normalmente revisara y dara seguimiento slo a las deficiencias materiales o errores
debe
hacerLa un
anlisis
riesgo yapara
garanta
razonable
de depende
que seefectivamente
abarcaran
detectados.
opcin
D esdeincorrecta
que elproveer
uso de tcnicas
de auditora
continua
la auditora. Se debe hacer un anlisis del riesgo para proveer:
adecuadamente
los
puntos
materiales.
Este
anlisis
debe
identificar
reas
con
riesgo
relativamente
de la complejidad de los sistemas de computadora de una organizacin.
alto de existencia de problemas materiales”. Garanta suficiente de que se abarcaran los puntos
Los diagramas de flujo de datos son usados por los Auditores de SI para:
Los diagramas de flujo de datos se usan como ayudas para graficar o diagramar el flujo y almacenamiento de
datos, con ellos se rastrean los datos desde su origen hasta su destino, resaltando las rutas y el almacenamiento
de los datos. Los diagramas de flujo no ordenan los datos en ningn orden jerrquico. El flujo de los
datos no coincidir necesariamente con ningn orden jerrquico o de generacin de datos.
Para asegurar que los recursos de auditora entreguen el mejor valor a la organizacin, el PRIMER
paso sera:
Monitorear el tiempo (A) y los programas de auditora (D), as como tambin una capacitacin
adecuada (B) mejorar la productividad del personal de auditora de SI (eficiencia y desempeo),
pero lo que entrega valor a la organizacin son los recursos y esfuerzos que se estn
dedicando y que estn concentrados en las reas de mayor riesgo.
Para determinar la suma de dlares de los cheques emitidos a cada vendedor en un perodo
especificado, el Auditor de SI debe usar:
Para identificar el valor del inventario que se ha guardado (no han rotado) por ms de ocho
semanas, lo MS probable es que un auditor de
SI utilice:
Respecto al muestreo, se puede decir que:
Revisar los planes estratgicos a largo plazo de la gerencia ayuda al auditor de SI a:

comprometido la independencia del auditor de sistemas? El auditor de sistemas:
El software generalizado de auditora facilitar la revisin de todo el archivo para buscar los objetos
que satisfagan los criterios de seleccin. El software generalizado de auditora provee acceso a los
datos y provee las caractersticas de cmputo, estratificacin, etc. El simulacro paralelo procesa los datos
de produccin usando programas de computadora que simulan la lgica de programa de aplicacin y no
reportan los datos histricos. Los datos de prueba se usan para verificar el procesamiento del
El software generalizado de auditora facilitara la revisin de todo el archivo de inventario para buscar los
programa, pero no confirmarn nada sobre las transacciones en cuestin. Los mtodos de muestreo
rubros que cumplan los criterios de seleccin. El software generalizado de auditora provee acceso directo a
estadstico al azar seleccionan datos de un archivo. En esta situacin, el Auditor de SI quiere verificar todos
los datos y provee funciones de cmputo, estratificacin, etc. Los datos de prueba son usados para verificar
los objetos que satisfacen los criterios y no slo una muestra de ellos.
programas, pero no confirmaran nada sobre las transacciones en cuestin. El uso de mtodos de
muestreo estadstico no pretende seleccionar condiciones especficas, sino que se usa para
El
muestreo estadstico
cuantifica
tan aproximadamente
una muestra
representar
poblacin,
seleccionar
muestras de
maneraquealeatoria
registros desdedebera
un archivo.
En este
caso, aellaauditor
de por
SI
lo
general
como
un
porcentaje.
Si
el
auditor
sabe
que
los
controles
internos
son
fuertes,
el
coeficiente
de
querra verificar todos los tem que renen criterios y no solo una muestra de ellos. Una prueba integrada
confianza
descender.permite
El muestreo
es generalmente
aplicable cuando
poblacin
refiere a un
(integratedpuede
test facility-ITF)
al auditor
de SI probar transacciones
a travsladel
sistema ense
produccin.
control tangible o documentado. La opcin C es una descripcin del muestreo detenerse o seguir.
La opcin D es una definicin de muestreo de atributos.
La planeacin estratgica pone en movimiento los objetivos corporativos o departamentales. La planeacin
estratgica est orientada al tiempo y al proyecto, pero debe tambin tratar y ayudar a determinar
prioridades para satisfacer las necesidades del negocio. Revisar los planes estratgicos a largo
plazo no alcanzara los objetivos expresados por las otras opciones.
Se puede comprometer la independencia si el auditor de sistemas est o ha estado involucrado

activamente en el desarrollo, adquisicin, e implementacin del sistema de aplicacin. Las opciones B y
C son situaciones que no comprometen la independencia del auditor de sistemas. La opcin D es
Dada una tasa de error esperado y un nivel de confianza, el muestreo estadstico es un mtodo
Un auditor de SI debe usar muestreo estadstico y no muestreo de juicio (no estadstico), cuando:
objetivo de muestreo, que ayuda a un auditor de SI a determinar el tamao de la muestra y a
cuantificar la probabilidad de error (coeficiente de confianza). La opcin B es incorrecta porque el riesgo de
muestreo es el riesgo de que una muestra no sea representativa de la poblacin. Este riesgo existe tanto para las
muestras de juicio como para las muestras estadsticas. La opcin C es incorrecta porque el muestreo
Un auditor de SI descubre evidencia de fraude perpetrado con la identificacin del
Las
debilidades
de control
contrasea
significan
que cualquiera
lasincorrecta
otras tres
opciones
estadstico
no requiere
el uso dede
software
generalizado
de auditora.
La opcindeD es
porque
la tasa de
usuario de un Gerente. El gerente haba escrito la contrasea, asignada por el administrador podra
ser cierta.
La seguridad
de contrasea
al perpetrador.
este caso, no
error tolerable
debe estar
predeterminada
tanto para elidentificara
muestreo denormalmente
juicio como para
el muestreoEn
estadstico.
del sistema, dentro del cajn/ la gaveta de su escritorio. El auditor de SI debera concluir que el:
establece culpa ms all de la duda
Un Auditor de SI emite un reporte de auditora sealando la falta de funciones de proteccin de

firewall en la entrada (gateway) perimetral de la red y recomienda que un vendedor de productos
resuelva esta vulnerabilidad. El auditor no ha ejercido:
Cuando un auditor de SI recomienda un vendedor especfico, ellos comprometen su independencia

profesional. La independence organizacional no tiene relevancia para el contenido de un reporte de auditora y
debe considerarse en el momento de aceptar el compromiso. Las competencias tcnica y profesional no son
relevantes para el requerimiento de independencia.
Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en lnea de

Un auditor de SI est efectuando una auditora de un sistema operativo de red. Cul
documentacin de red. Otras funciones seran el acceso del usuario a diversos recursos de
red y las computadoras anfitrionas (hosts) a ser usadas sin acciones o comandos especiales de usuario. Las
opciones B, C y D son ejemplos de funciones de sistemas operativos de red entre las cuales estn incluidas
El aprovechamiento de un ID y contrasea de usuario conocidos requiere mnimos conocimientos tcnicos
Un auditor de SI est evaluando una red corporativa en busca de una posible
lasexpone
siguientes:
soportar de
el laacceso
deexplotacin
terminales a anfitriones (hosts) remotos, manejar la transferencia de
y
los recursos
red a la
penetracin por parte de empleados internos. Cul de los hallazgos siguientes debera
archivos entre
(hosts),
y comunicaciones
entre ser
usuarios.
(maliciosa).
La anfitriones
barrera tcnica
es baja
y el impacto puede
muy elevado; por lo tanto, el hecho de que muchos
preocupar MS al auditor de SI?
IDs de usuario tengan contraseas idnticas representa la mayor amenaza. Los mdems externos representan un
riesgo de seguridad, pero la explotacin o aprovechamiento an depende del uso de una cuenta vlida de
usuario.
que el impacto
de muchos
IDs de
usuario sequeestn
tengan
contraseas
La
pruebaMientras
de cumplimiento
determina
si los
controles
aplicando
de idnticas
acuerdo puede
con ser
las
Un auditor de SI est revisando el acceso a una aplicacin para determinar si los 10 formularios
elevado,
(por
ejemplo,
debido
a
la
instalacin
de
Caballos
de
Troya
o
programas
de
key-logging),
la
“nuevo usuario” ms recientes fueron correctamente autorizados. Este es un ejemplo
probabilidad
es elevadasedebido
nivel
de conocimientos
que se
requiere
penetrar
El
muestreo no
de variables
usa al
para
estimar
los valores tcnicos
numricos,
tales
como para
valores
de
de:
exitosamente
a
la
red.
A
pesar
que
el
monitoreo
de
red
puede
ser
un
control
de
deteccin
til,
slo
detectarde
el abuso
de cuentas
de usuario
circunstancias
especiales sustantivas
y por lo tanto
no es una
primera lnea
saldos
los estados
financieros.
El en
desarrollo
de pruebas
depende
a menudo
del
Uno
de
los
factores
clave
a
ser
considerados
mientras
se
evalan
los
riesgos
relacionados
con
el
uso
de
diversos
de
defensa.
Un auditor de SI est revisando la evaluacin del riesgo de la gerencia, de los sistemas resultado de las pruebas de cumplimiento. Si las pruebas de cumplimiento indican que hay controles internos
sistemas
de informacin
son las amenazas
y las
vulnerabilidades
afectan astop-or-go
los activos.
Los que
riesgos
de informacin. El auditor de SI debe PRIMERO
adecuados,
entonces las pruebas
sustantivas
se pueden
minimizar.que
El muestreo
permite
una
relacionados
con
el
uso
de
activos
de
informacin
deben
ser
evaluados
aisladamente
de
revisar:
prueba sea detenida lo antes posible y no es apropiada para verificar si se han seguido los procedimientos. los
controles instalados. De manera similar, la eficacia de los controles debe ser considerada durante la etapa
de mitigacin del riesgo y no durante la etapa de evaluacin del riesgo. Se debe establecer un
Un auditor de SI evala los resultados de prueba de una modificacin a un sistema que trata conEl
auditor depara
SI monitorear
debera luego
examinar casos
clculos
incorrectos
confirmar
mecanismo
constantemente
los donde
riesgos ocurrieron
relacionados
con los
activos y durante
la
cmputo de pagos. El auditor encuentra que el 50 % de los clculos no coinciden con los totaleslos
resultados.
Despus
de
que
los
clculos
hayan
sido
confirmados,
ms
pruebas
pueden
ser
funcin de monitoreo del riesgo que sigue a la etapa de evaluacin del riesgo.
predeterminados. Cul de los siguientes es MS probable que sea el siguiente paso en la auditora? llevadas a cabo y revisadas. La preparacin de reportes, hallazgos y recomendaciones no se hara hasta que
todos los resultados fueran confirmados.
Un auditor de SI ha evaluado los controles en busca de la integridad de los datos enEste es el hallazgo ms significativo ya que afecta directamente la integridad de los datos de la aplicacin y es
evidencia de un proceso inadecuado de control de cambios y los derechos de acceso incorrectos al entorno de
una aplicacin financiera. Cul de los hallazgos siguientes sera el MS significativo?
procesamiento. A pesar de que las copias de respaldo slo una vez por semana es un hallazgo, ello no afecta la
integridad de los datos en el sistema. La documentacin incompleta de desarrollo de la aplicacin no afecta la
integridad de los datos. La falta de sistemas apropiados de deteccin de incendios no afecta la integridad de los
Comparar los totales de control de los datos importados con los totales de control de los datos originales es el
Un auditor de SI ha importado datos de la base de datos del cliente. El paso siguiente para confirmar datos pero puede afectar el almacenamiento de los datos.
siguiente paso lgico, ya que esto confirma la integridad de los datos importados. No es posible confirmar la
si los datos importados estn completos se lleva a cabo:
totalidad (completeness) clasificando los datos importados, porque los datos originales pueden no estar en el
orden de clasificacin. Adems la clasificacin no provee totales de control para verificar la totalidad
(completeness). Revisar una impresin de
respuestas
que seoriginales
dieron aconlas 100
preguntas
fueran confirmadas
por los
100 las
registros
de datos
registros delde auditor
datos no
importados
es un proceso
de
Un Auditor de SI que entrevista a un empleado de planilla encuentra que las respuestas Si
documentados
o por
descripciones
de losregistros
puestos solamente.
de trabajo, elFiltrar
Auditordatos
de SI debe
verificacin fsica
y confirma
la las
correccin
de estos
para
no respaldan las descripciones de los puestos de trabajo y de los procedimientos documentados. procedimientos
expandir
de las
de los controles
incluiroriginales
pruebas sustantivas
adicionales.
evidencias los
de
diferentesel alcance
categoras
y pruebas
compararlos
con los edatos
an requerira
que No
se hay
desarrollen
Bajo estas circunstancias, el Auditor de SI debe:
si los controles
existir
son adecuados
totales
de controlque
parapodran
confirmar
la totalidad
de los datos.o inadecuados. Poner mayor confianza en las
Un auditor de SI revisa un organigrama PRIMARIAMENTE para:
auditor de SI no debe asumir la funcin del oficial de cumplimiento niasumir participacin
Un control de revisin de aplicaciones implica la evaluacin de los controles automatizados de la
aplicacin y una evaluacin de cualesquiera exposiciones resultantes de las debilidades del control. Las
otras opciones pueden ser objetivos de una auditora de aplicacin pero no forman parte de una
auditora restringida a una revisin de controles.
Un organigrama provee informacin sobre las responsabilidades y la autoridad de personas en la organizacin.

Esto ayuda al auditor de SI a saber si hay una segregacin apropiada de funciones. Un diagrama de flujo de
trabajo proporcionara informacin sobre las funciones de diferentes empleados. Un diagrama de red
proveer informacin sobre el uso de diversos canales de comunicacin e indicar la conexin de los usuarios a la
red.
Un auditor de SI revisando la efectividad de los controles de TI, encontr un informe En ausencia de documentos de trabajo de auditora, un auditor de SI debe volver a probar los controles para ver
de auditora anterior, sin documentos de trabajo.
su efectividad. Sin volver a probar el auditor no estar ejerciendo el debido cuidado profesional mientras
Cmo debe proceder el auditor de SI?
realiza la auditora. Los documentos de trabajo pueden ayudar al auditor a eliminar la necesidad de volver a
probar; sin embargo, el auditor debe estar preparado para volver a probar los controles.
Preguntar a los programadores sobre los procedimientos que se estn siguiendo actualmente es
til para determinar si el acceso a la documentacin de programas est restringido a las personas
autorizadas. Evaluar los planes de retencin de registros para almacenamiento fuera de las
la documentacin de programas. Probar la seguridad de acceso a archivos de datos no resuelve la
respuesta C es incorrecta porque la CSA no es un reemplazo de las auditoras tradicionales. La CSA no
Un
contrato
de auditora
debera establecer
los objetivos
de la gerencia
para, Dyeslaincorrecta
delegacin
de
pretende
reemplazar
las responsabilidades
de la auditora,
sino aumentarlas.
La respuesta
porque
autoridad
a la auditora
de SI.delegue
Este contrato
no debera
de manera significativa con l tiempo y
la CSA no permite
que la gerencia
su responsabilidad
de cambiar
controlar.
debera ser aprobado al nivel mas alto de la gerencia. El contrato de auditora no estara a un nivel de detalle y
por lo tanto no incluira objetivos o procedimientos especficos de auditora.
Un Auditor de sistemas que trate de determinar si el acceso a la documentacin de programas

MS probable es que:
Un beneficio PRIMARIO para una organizacin que emplea tcnicas de auto evaluacin de
controles (control self-assessment-CSA), es que ella:
Un elemento clave en un anlisis de riesgo es /son:
Una accin correctiva ha sido tomada por un auditado inmediatamente despus de la identificacinIncluir el hallazgo en el reporte final es una prctica de auditora generalmente aceptada. Si se emprende una
accin despus de que comenz la auditora y antes de que terminara, el reporte de auditora debe
de un hallazgo que debera ser reportado. El auditor debe:
identificar el hallazgo y describir la accin correctiva tomada. Un reporte de auditora debe reflejar la
situacin, tal como sta exista en el comienzo de la auditora. Todas las acciones correctivas emprendidas por el
Las vulnerabilidades son un elemento clave en la realizacin de un anlisis de riesgo. La planeacin de la

auditora est constituida por procesos de corto y largo plazo que pueden detectar amenazas a los
activos de informacin. Los controles mitigan los riesgos asociados con amenazas especficas.
Las responsabilidades son parte del negocio y no son un riesgo en forma inherente.
Una prueba integrada (integrated test facility-ITF) se considera una herramienta til de auditora
porque:
Una facilidad de prueba integrada se considera una herramienta til de auditora porque usa los mismos
programas para comparar el procesamiento usando datos calculados de manera independiente. Esto implica
Una prueba sustantiva para verificar que los registros de inventario de biblioteca de cintas son
correctos, es:
Una prueba sustantiva incluye recolectar evidencias para evaluar la integridad de las transacciones individuales,
de los datos o de otra informacin. Un conteo fsico del inventario de cintas es una prueba sustantiva. Las
opciones A, B y D son pruebas de cumplimiento.
La prueba de cumplimiento determina si los controles se estn aplicando de acuerdo con las
Un auditor de SI est revisando el acceso a una aplicacin para determinar si los 10
formularios "nuevo usuario" ms recientes fueron correctamente autorizados. Este es un ejemplo
El muestreo de variables se usa para estimar los valores numricos, tales como valores de
de:
saldos de los estados financieros. El desarrollo de pruebas sustantivas depende a menudo del
resultado
pruebasest
de directamente
cumplimiento.
Si las pruebas
de cumplimiento
indican
quedehay
internos
Un riesgo de
de las
deteccin
afectado
por la seleccin,
por parte del
auditor,
loscontroles
procedimientos
y
Las decisiones y las acciones de un auditor es MS probable que afecten a cul de los riesgos
adecuados,
entonces las
sustantivas por
se pueden
minimizar.
El muestreo
stop-or-go
tcnicas
de auditora.
Lospruebas
riesgos inherentes
lo general
no estn
afectados
por el permite
auditor que
de una
SI.
siguientes?
prueba
sea detenida
lo antes
y no por
es apropiada
para verificar
si se han de
seguido
los procedimientos.
Un riesgo
de control
es posible
controlado
las acciones
de la gerencia
la compaa.
Los riesgos
financieros no estn afectados por el auditor de SI.
En esta situacin el auditor de SI debera informar a la gerencia sobre el perjuicio a la independencia para
La alta gerencia ha solicitado que un auditor de SI asista a la gerencia departamental en la
llevar a cabo auditoras posteriores en el rea del auditado. Un auditor de SI puede realizar asignaciones
implementacin de los controles necesarios. El auditor de SI debera:
que no sean de auditora cuando la experiencia y conocimientos del auditor pueden ser de utilidad
para la gerencia; sin embargo, realizando la asignacin que no es de auditora, el auditor de SI no puede
llevar a cabo futuras auditoras del auditado ya que su independencia puede estar comprometida. Sin
La
opcin laA toma
en consideracin
tantonola se
probabilidad
como cuando
la magnitud
del /recomiende
impacto y provee
la
embargo,
independencia
del auditor
ver afectada
sugiera
controles
mejor
medida
del de
riesgo
para un activo. La opcin B provee nicamente la probabilidad de que una
al auditado
despus
la auditora.
amenaza explote una vulnerabilidad en el activo pero no provee la magnitud del posible dao al activo.
que una amenaza explote una vulnerabilidad. La opcin D define el riesgo sobre una base arbitraria y no es
adecuado para un proceso cientfico de administracin del riesgo.
determinara si los registros de la biblioteca de cintas estn establecidos correctamente. Una prueba
de cumplimiento determina si se estn aplicando los controles de una forma consistente con las
polticas y procedimientos de la gerencia. Verificar la autorizacin de los reportes de excepcin, revisar la
autorizacin
cambiar
y revisar
reportes
son todas
pruebas de
El riesgo de para
deteccin
es parmetros
el riesgo de
que ellos
auditor
de histricos
SI use de
un contrasea
procedimiento
inadecuado
de
cumplimiento.
El uso de procedimientos estadsticos de muestreo ayuda a minimizar el riesgo:
prueba y concluya que los errores materiales no existen, cuando en realidad s existen. Usando
Cul de los siguientes es un beneficio de un mtodo de planeacin de auditora basado en el riesgo?
muestreo estadstico, un auditor de SI puede cuantificar con qu aproximacin debe la muestra

representar a la poblacin y debe cuantificar la probabilidad de error. El riesgo de muestreo es el riesgo de que
se hagan supuestos incorrectos sobre las caractersticas de una poblacin a partir de la cual se selecciona una
muestra.
El
mtodo
Suponiendo
basado que
en no
el hay
riesgo
controles
est compensatorios
diseado pararelacionados,
asegurar que
el riesgo
el inherente
tiempo de
es elauditora
riesgo de que
sea
exista un en
empleado
error,
las que
reas podra
de mayor
ser riesgo.
material El
o desarrollo
significativo
de un
cuando
cronograma
se combina
de auditora
con nootros
est dirigido
errores
durante
por
un mtodo
la auditora.
basado Elenmuestreo
el riesgo.estadstico
Los cronogramas
ser material
de auditora
o significativo
pueden cuando
ser preparados
se combine
con con
meses
otros
de
errores encontrados
anticipacin
usando diversos
durante
mtodos
la auditora.
de cronograma.
El muestreo
Un mtodo
estadstico
de riesgo
nonominimizar
tiene una correlacin
esto. El directa
riesgo con
de
El objetivo PRIMARIO de una funcin de auditora de SI es:
Un elemento clave en un anlisis de riesgo es /son:
En un enfoque de auditora basado en el riesgo, un auditor de SI, adems del riesgo, estara
influenciado por la:
La razn primaria para llevar a cabo auditoras de SI es determinar si un sistema salvaguarda los
activos y mantiene la integridad de los datos. Examinar libros de contabilidad es uno de los
procesos involucrados en una auditora de SI pero no es el propsito primario. Detectar fraudes
podra ser una consecuencia de una auditora de SI pero no es el propsito para el que se realiza una auditora
de SI.
auditor de SI no debe asumir la funcin del oficial de cumplimiento niasumir participacin
Las vulnerabilidades son un elemento clave en la realizacin de un anlisis de riesgo. La planeacin de la
auditora est constituida por procesos de corto y largo plazo que pueden detectar amenazas a los
activos de informacin. Los controles mitigan los riesgos asociados con amenazas especficas.
Las responsabilidades son parte del negocio y no son un riesgo en forma inherente.
Un contrato de auditora debera establecer los objetivos de la gerencia para, y la delegacin de
autoridad a la auditora de SI. Este contrato no debera cambiar de manera significativa con l tiempo y
debera ser aprobado al nivel mas alto de la gerencia. El contrato de auditora no estara a un nivel de detalle y
por lo tanto no incluira objetivos o procedimientos especficos de auditora.
La existencia de controles internos y operativos tendr un peso sobre el enfoque de la auditora por el
auditor de SI. En un enfoque basado en el riesgo, el auditor de SI no se esta basando solamente en el
riesgo, sino tambin en los controles internos y operativos as como tambin en el conocimiento de
la compaa y del negocio. Este tipo de decisin de anlisis del riesgo puede ayudar a relacionar el anlisis
costo-beneficio del control con el riesgo conocido, permitiendo elecciones prcticas. La naturaleza de
La PRINCIPAL ventaja del enfoque de evaluacin del riesgo sobre el enfoque de lnea base para la tcnicas de prueba disponibles y las manifestaciones de la Gerencia, tienen poco impacto sobre
enfoque
la lnea
base aplica
meramente
un conjunto
estndar
proteccin
independientemente
del riesgo.
el enfoquede de
auditora
basado
en el riesgo.
A pesar
de deque
la estructura
de la organizacin
y
gerencia de seguridad de informacin es que ste asegura que:
Hay
una
ventaja
de
costo
en
no
sobreproteger
la
informacin.
Sin
embargo
una
ventaja
an
mayor
es
las
responsabilidades del puesto de trabajo necesitan ser consideradas ellas no son consideradas
asegurarse
que
ningnque
activo
de un
informacin
sobre niinternos
protegido
de manera insuficiente. El enfoque de
directamente
a menos
tengan
impacto en esta
los controles
y operativos.
la evaluacin del riesgo asegurara que se aplique un nivel de proteccin apropiado al nivel de riesgo y al
El
muestreo
de atributos
el mtodo
de muestreo
que activo.
se usa para
comprobar
el cumplimiento.
El
valor
del activo,
y por loes tanto,
tomaprimario
en cuenta
el valor del
El enfoque
de lnea
base permite que
Cul de los mtodos de muestreo es el MS til cuando se pone a prueba su cumplimiento?
muestreo
de atributos
es un modelo
muestreo
se enusa
para riesgo
estimarde la
tasa los
de recursos
ocurrencia
de una
ms recursos
sean dirigidos
hacia losdeactivos
queque
estn
mayor
dirigir
a todos
los
calidad
especifica
(atributo)
en
una
poblacin
y
se
usa
en
la
comprobacin
de
cumplimiento
para
activos.
confirmar si esta calidad existe o no. Las otras elecciones se usan en comprobaciones substantivas que
involucran la comprobacin de detalles o cantidad.
El contrato de auditora tpicamente establece la funcin y la responsabilidad del departamento de
El propsito PRIMARIO de un contrato de auditora es:
auditora interna. Debera establecer los objetivos de la gerencia y la delegacin de autoridad al
departamento de auditora. Este se cambia muy pocas veces y no contiene el plan de auditora o
el proceso de auditora que es por lo general parte del plan anual de auditora, ni describe un
cdigo de conducta profesional ya que dicha conducta es fijada por la profesin y no por la gerencia.
Los archivos de respaldo contienen documentos, que supuestamente han sido borrados, podran ser
Cul de las siguientes es la razn MS probable de por qu los sistemas de correo
recuperados de estos archivos. Los controles de acceso pueden ayudar a establecer responsabilidad de
dar cuenta de la emisin de un documento en particular, pero esto no provee evidencia del
correo Electrnico. Las normas de clasificacin de datos pueden haber sido fijadas respecto a lo que debera
El departamento de SI de una organizacin quiere asegurarse de que los archivos de computadora

usados en la instalacin de procesamiento de informacin, estn respaldados adecuadamente para
permitir la recuperacin apropiada. Este es un:

comprometido la independencia del auditor de sistemas? El auditor de sistemas:
La ventaja PRIMARIA de un enfoque continuo de auditora es que:
Cul de los siguientes es un objetivo de un programa de auto evaluacin de control (CSA)?
Los objetivos de control de SI especifican el conjunto mnimo de controles para asegurar la eficiencia y
efectividad en las operaciones y funciones dentro de una organizacin. Los procedimientos de control se
desarrollan para proveer una garanta razonable de que se lograran los objetivos especficos. Un control
correctivo es una categora de controles, que est dirigida a minimizar la amenaza y/o a remediar los
problemas que no fueron impedidos o que no fueron inicialmente detectados. Los controles operativos
Se
puede comprometer
la independencia
el auditor cotidianas,
de sistemasy est
o ha aestado
involucrado
activamente
se ocupan
de las funciones
y actividades sioperativas
ayudan
asegurar
que las operaciones
en
el cumpliendo
desarrollo, con
adquisicin,
e de
implementacin
del sistema de aplicacin. Las opciones B y C son
estn
los objetivos
negocio deseados.
situaciones que no comprometen la independencia del auditor de sistemas. La opcin D es
El uso de tcnicas continuas de auditora puede en realidad mejorar la seguridad del sistema
cuando se
usa en entornos que comparten el tiempo que procesan un gran numero de
transacciones, pero dejan muy pocas pistas de papel. La opcin A es incorrecta ya que el enfoque
de auditora continua a menudo requiere que un auditor de SI recolecte evidencia sobre la confiabilidad del
sistema mientras est llevando a cabo el procesamiento. La opcin B es incorrecta ya que un auditor de
Los
de los programas
incluyen
la educacin
paraa la las
gerencia
de lnea en
responsabilidad
del
SI objetivos
normalmente
revisara yCSA
dara
seguimiento
slo
deficiencias
materiales
o errores
control, seguimiento
concentracin
lasde reas
alto riesgo.
Losdepende
objetivos
de los
detectados.
La opciny D
es incorrectadeyatodos
que elenuso
tcnicasde
de auditora
continua
efectivamente
programas
de CSA
incluyen
aumento dede las
responsabilidades de auditora, no el reemplazo
de
la complejidad
de los
sistemas el
de computadora
una organizacin.
de las responsabilidades de auditora. Las opciones C y D son herramientas de CSA y no objetivos.
Una prueba de cumplimiento determina si los controles estn operando como se disearon y si estn
Cul de las siguientes pruebas es realizada por un auditor de SI cuando es seleccionada
siendo aplicados en tal forma que cumplan con las polticas y procedimientos de gerencia. Por
una muestra de programas para determinar si las versiones fuentes y las versiones objeto son las
ejemplo,
si al auditor de SI le preocupa si los controles de biblioteca de programas estn
mismas?
funcionando correctamente, el auditor de SI podra seleccionar una muestra de programas para determinar si
las versiones fuente y las versiones objeto son las mismas. En otras palabras, el principal objetivo de
Habilitar
de de
auditora
ayuda establecer
la obligacin
de rendir una
cuentas
y la responsabilidad
de las
cualquier pistas
prueba
cumplimiento
es proveer
a los auditores
garanta
razonable de que
un
transacciones
procesadas,
rastreando
transacciones
a
travs
del
sistema.
El
objetivo
de
habilitar
software
para
control en particular en el que el auditor planea basarse est operando como el auditor lo percibi en la
proveer
pistas
de auditora no es mejorar la eficiencia del sistema, ya que esto implica a menudo un
evaluacin
preliminar.
pistas de auditora si implica almacenamiento y de eso modo ocupa espacio de disco. La opcin D es tambin
El riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya Este
una razn
es la razn primaria.
es un valida;
ejemplosin
deembargo,
riesgo deno
deteccin.
que los errores materiales no existen cuando en realidad existen, es un ejemplo de:
En un enfoque de auditora basado en el riesgo, un auditor de SI debera realizar primero una:
Respecto al muestreo, se puede decir que:
El primer paso en un enfoque de auditora basada en el riesgo es recolectar informacin sobre el negocio y
la industria para evaluar los riesgos inherentes. Despus de realizar la evaluacin de los riesgos inherentes, el
siguiente paso sera realizar una evaluacin de la estructura de control interno. Los controles serian entonces
probados sobre la base de los resultados de prueba, se realizaran las pruebas sustantivas y serian evaluadas.
El muestreo estadstico cuantifica que tan aproximadamente debera una muestra representar a la poblacin, por
lo general como un porcentaje. Si el auditor sabe que los controles internos son fuertes, el coeficiente
de confianza puede descender. El muestreo es generalmente aplicable cuando la poblacin se refiere a
un control tangible o documentado. La opcin C es una descripcin del muestreo detenerse o seguir. La
El lineamiento de auditora de SI sobre el uso de un anlisis del riesgo en la planeacin de auditora

expresa: "Todas las metodologas de anlisis de riesgo se basan en juicios subjetivos en ciento momento del
proceso (por ejemplo, para asignar ponderaciones a los diversos parmetros.) El auditor de SI debe
identificar las decisiones subjetivas requeridas para usar una metodologa en particular y considerar si estos
juicios
puedensobre
hacerseresponsabilidad,
y ser validos a unautoridad
nivel apropiado
de exactitud".
La norma
y obligacin
de rendir cuentas expresa "La
La evaluacin de riesgos es un proceso:
La responsabilidad, autoridad y obligacin de rendir cuentas de las funciones de auditora de los

responsabilidad autoridad, y obligaciones de rendir cuentas de la funcin de auditora de los sistemas de
sistemas de informacin estn debidamente documentadas en una carta o contrato de auditora (Audit
informacin deben ser debidamente documentadas en una carta de auditora o carta compromiso."
Las
Charter) y DEBEN ser:
opciones B y C son incorrectas porque la carta de auditora debe ser aprobada por la gerencia de mas
alto nivel, no meramente por el departamento de auditora de los sistemas de informacin, o del
La
planeacinde
estratgica
en movimiento
los objetivos
corporativos
departamentales.
La planeacin
departamento
usuarios. pone
Las metodologa
de planeacin
resultantes
deben o ser
revisadas y aprobadas
por la
Revisar los planes estratgicos a largo plazo de la gerencia ayuda al auditor de SI a:
estratgica
est
orientada
al
tiempo
y
al
proyecto,
pero
debe
tambin
tratar
y
ayudar
a
determinar
alta gerencia y por el comit de auditora. La opcin D es incorrecta porque la carta de auditora, una vez
prioridades
para
satisfacer
las necesidades
Revisar
plazo
establecida no
es revisada
de manera
rutinaria y del
debenegocio.
ser cambiada
sololos
si elplanes
cambioestratgicos
puede ser, ay es,largo
justificado
no
alcanzara
los
objetivos
expresados
por
las
otras
opciones.
exhaustivamente.
Uno de los factores clave a ser considerados mientras se evalan los riesgos relacionados con el uso de
Un auditor de SI est revisando la evaluacin del riesgo de la gerencia, de los sistemas de
diversos sistemas de informacin son las amenazas y las vulnerabilidades que afectan a los activos. Los
informacin. El auditor de SI debe PRIMERO
riesgos relacionados con el uso de activos de informacin deben ser evaluados aisladamente de
revisar:
los controles instalados. De manera similar, la eficacia de los controles debe ser considerada durante la etapa
de mitigacin del riesgo y no durante la etapa de evaluacin del riesgo. Se debe establecer un
Cuando
se disea
un plan deconstantemente
auditora, es importante
las reas
alto riesgo
mecanismo
para monitorear
los riesgosidentificar
relacionados
con de
los ms
activos
durantepara
la
determinar
las
reas
a
ser
auditadas.
Los
conjuntos
de
habilidades
del
personal
de
auditora
deberan
funcin de monitoreo del riesgo que sigue a la etapa de evaluacin del riesgo.
haberse considerado antes de decidir y de escoger la auditora. Los pasos de prueba para la auditora no son tan
crticos como identificar las reas de riesgo, y el tiempo asignado para una auditora est
determinado por las reas a ser auditadas. Las cuales son primariamente seleccionadas con base en la
Un beneficio PRIMARIO para una organizacin que emplea tcnicas de auto evaluacin de controles identificacin de los riesgos.
(control self-assessment—CSA), es que ella:
respuesta C es incorrecta porque la CSA no es un reemplazo de las auditoras tradicionales. La CSA no
El grado hasta donde los datos sern recolectados durante una auditora de SI debera ser determinado pretende reemplazar las responsabilidades de la auditora, sino aumentarlas. La respuesta D es incorrecta porque
basado en:
la CSA no permite que la gerencia delegue su responsabilidad de controlar.
que una auditora que tuviera un propsito y un alcance mas amplios. El alcance de una auditora
de SI no debera ser restringidos por la facilidad de obtener la informacin o por la familiaridad
El primer paso y el ms crtico en el proceso es identificar las reas de alto riesgo dentro de la
del auditor con el rea que esta siendo auditada. Recolectar toda la evidencia requerida es un
Cuando se implementan sistemas de monitoreo continuo el PRIMER paso de un auditor de SI es
organizacin. Los gerentes del departamento de negocios y altos ejecutivos estn en las mejores posiciones
identificar:
elemento requerido de un auditor de SI y el alcance de la auditora no debe estar limitado por la capacidad del
para ofrecer una opinin respecto a estas reas. Una vez que las reas potenciales de implementacin hayan
auditado de encontrar evidencia relevante.
sido identificadas, se debera realizar una evaluacin del impacto potencial para identificar las
aplicaciones que proveen el mayor payback potencial a la organizacin. En este punto las pruebas
La directriz para la auditora de SI sobre la planeacin de la auditora de SI establece: "Se debe hacer un
Los anlisis de riesgos realizados por los auditores de SI son un factor crtico para la planeacin de y los umbrales razonables objetivo deberan determinarse antes de la programacin. Durante el
anlisis de riesgo para proveer garanta razonable de que se abarcaran adecuadamente los puntos
la auditora. Se debe hacer un anlisis del riesgo para proveer:
desarrollo de sistemas, se debe definir la ubicacin y el formato de los archivos de salida (output) generados por
materiales. Este anlisis debe identificar reas con riesgo relativamente alto de existencia de
los programas de monitoreo.
problemas materiales". Garanta suficiente de que se abarcaran los puntos materiales durante el trabajo de
auditora es una proposicin impractica. Garanta razonable de que se abarcaran todos los puntos durante el
La funcin del auditor de SI es asegurar que estn incluidos los controles requeridos. A menos
que est presente especficamente como un consultor, el auditor de SI no debera participar en diseos
detallados. Durante la fase de diseo, la funcin primaria del auditor de SI es asegurar que estn incluidos los
controles. A menos que haya algn desvo potencial que reportar, al auditor de SI no le concierne el control de
proyecto en esta etapa.
En una auditora de SI de varios servidores crticos, el auditor quiere analizar las pistas de auditora Las herramientas de deteccin de tendencias /varianzas buscan anomalas en el comportamiento de
para descubrir potenciales anomalas en el comportamiento de usuarios o del sistema. Cul de las usuarios o del sistema, por ejemplo, determinando para los documentos prenumerados si los nmeros
son secuenciales o incrementales. Las herramientas CASE se usan para asistir en el desarrollo de software. El
herramientas siguientes es la MS adecuada para realizar esa tarea?
software integrado de recoleccin de datos (auditora) se usa para tomar muestras y para proveer estadsticas de
produccin.
heursticas
escaneo
se pueden
usar para escanear
busca de
para indicar
La
prueba Las
de herramientas
integridad de
dominiode est
dirigida
a verificar
que losen datos
se virus
ajusten
a las
Cul de los siguientes podra ser usado por un auditor de SI para validar la efectividad de las rutinas cdigos
posiblemente
infectados.
definiciones, i.e., los elementos de datos estn todos en los dominios correctos. El objetivo principal
de edicin y de validacin?
de este ejercicio es verificar que las rutinas de edicin y de validacin estn funcionando de manera
satisfactoria. Las pruebas de integridad relacional se realizan a nivel del registro y por lo general implican
calcular y verificar diversos campos computados , tales como los totales de control. Las verificaciones de
Este
es el hallazgo
ms significativo
ya que afecta
directamente
la integridad
de losllave/clave
datos de laprimaria
aplicacindesde
y es
integridad
referencial
implican asegurar
que todas
las referencias
a una
Un auditor de SI ha evaluado los controles en busca de la integridad de los datos
evidencia
de
un
proceso
inadecuado
de
control
de
cambios
y
los
derechos
de
acceso
incorrectos
al
entorno
de
otro
archivo
existen
realmente
en
su
archivo
original.
Una
verificacin
o
chequeo
de
paridad
es
un
bit
agregado
en una aplicacin financiera. Cul de los hallazgos siguientes sera el MS significativo?
procesamiento.
A pesar
detransmisin.
que las copias
una vez
por semana
un que
hallazgo,
ello parte
no afecta
a cada carcter antes
de la
El de
bit respaldo
de paridadslo
es una
funcin
de los esbits
forman
del
la
integridad
de los datosrealiza
en el sistema.
Lafuncin
documentacin
incompleta
de desarrollo
de la el
aplicacin
afecta
la
carcter.
El destinatario
la misma
en el carcter
recibido
y compara
resultadonocon
el bit
integridad
los datos.
La
falta
sistemas
apropiados
de
deteccin
de incendios
no afecta
la integridad
de los
de
paridad de
transmitido.
se asume
que hay
un
error. requiere
El aprovechamiento
deSi
unfuera
ID diferente,
yde
contrasea
de usuario
conocidos
mnimos
conocimientos
tcnicos
Un auditor de SI est evaluando una red corporativa en busca de una posible
datos
pero los
puede
afectar de
el almacenamiento
de los datos.
y
expone
recursos
la red a la explotacin
penetracin por parte de empleados internos. Cul de los hallazgos siguientes debera
(maliciosa). La barrera tcnica es baja y el impacto puede ser muy elevado; por lo tanto, el hecho de que muchos
preocupar MS al auditor de SI?
IDs de usuario tengan contraseas idnticas representa la mayor amenaza. Los mdems externos representan un
riesgo de seguridad, pero la explotacin o aprovechamiento an depende del uso de una cuenta vlida de
usuario.
Mientras
que el impactoel de
muchosporIDs
usuarioel auditor
que tengan
ser
La prioridad
es salvaguardar
sistema;
lo detanto,
de contraseas
SI deberaidnticas
sugerir puede
controles
En un servidor crtico, un auditor de SI descubre un caballo de Troya que fue
elevado,
(por
ejemplo,
debido
a
la
instalacin
de
Caballos
de
Troya
o
programas
de
key-logging),
la
producido por un virus conocido que explota una vulnerabilidad de un sistema operativo. correctivos, i.e., eliminar el cdigo. El auditor de SI no es responsable de investigar el virus. El auditor
probabilidad
no esla elevada
debido
nively determinar
de conocimientos
se requiere
parapero
penetrar
de SI puede analizar
informacin
delalvirus
si ste hatcnicos
afectadoque
el sistema
operativo,
esta
Cul de los siguientes debera hacer PRIMERO un auditor?
exitosamente
a
la
red.
A
pesar
que
el
monitoreo
de
red
puede
ser
un
control
de
deteccin
til,
slo
es una tarea investigativa que tendra lugar despus de asegurarse que el cdigo malicioso ha sido
detectar
abuso el
deparche
cuentas
usuario
en circunstancias
por lo tcnico.
tanto no es una primera lnea
eliminado.elInstalar
quedeelimina
la vulnerabilidad
debeespeciales
hacerlo el ysoporte
de
defensa.
El
objetivo
primario
del
software
forense
es
preservar
la
evidencia
electrnica
para satisfacer las
Cul de las siguientes es la ventaja PRINCIPAL de usar software forense de computacin para las
reglas de evidencia. Los ahorros en tiempo y en costos, opcin B, y la eficiencia y la eficacia, opcin
investigaciones?
C, son preocupaciones legtimas y diferencian a los paquetes buenos de los paquetes deficientes de
software forense. La capacidad de investigar las violaciones de los derechos de propiedad intelectual, opcin D,
es
un ejemplo
un usodedecontrol
software
Comparar
losde
totales
deforense.
los datos importados con los totales de control de los datos originales es
Un auditor de SI ha importado datos de la base de datos del cliente. El paso siguiente para confirmar
el siguiente paso lgico, ya que esto confirma la integridad de los datos importados. No es posible confirmar la
si los datos importados estn completos se lleva a cabo:
totalidad (completeness) clasificando los datos importados, porque los datos originales pueden no estar en el
orden de clasificacin. Adems la clasificacin no provee totales de control para verificar la totalidad
(completeness). Revisar una impresin de
Las
caractersticas
del originales
software generalizado
de auditora
cmputos
100 registros
de datos
con 100 registros
de datos incluyen
importados
es un matemticos,
proceso de
estratificacin,
anlisis
estadstico,
verificacin
de
secuencia,
verificacin
de
duplicados
reclculos.
verificacin fsica y confirma la correccin de estos registros solamente. Filtrar ydatos
para
El
auditor
de
SI,
usando
software
generalizado
de
auditora,
podra
disear
pruebas
apropiadas
diferentes categoras y compararlos con los datos originales an requerira que se desarrollen para
los
recalcular
planilla/nmina
y, dela totalidad
ese modo,
si hubo sobrepagos, y a quines fueron
totales de lacontrol
para confirmar
de losdeterminar
datos.
La funcin PRIMARIA de un auditor de SI durante la fase de diseo del sistema de un proyecto de
desarrollo de aplicaciones es:
Durante una auditora de seguridad de procesos de TI, un auditor de SI encontr que no haba Uno de los principales objetivos de una auditora es identificar los riesgos potenciales; por lo tanto,
el mtodo ms proactivo sera identificar y evaluar las prcticas existentes de seguridad que la
organizacin est siguiendo. Un auditor de SI no debe preparar documentacin, y si lo hiciera, su
independencia estara en peligro. Dar por terminada la auditora puede impedir que se logren los
objetivos
la datos
auditora,
es est
decir,
la identificacin
de los
potenciales.
no hay
La eficacia de
de los
de prueba
determinada
por la extensin
de riesgos
la cobertura
de todosComo
los controles
procedimientos
documentados,
no hay
contranolacubren
cual probar
el las
cumplimiento.
Cul de los siguientes es el MAYOR desafo al utilizar datos de prueba?
clave a ser probados.
Si los datos
debase
prueba
todas
condiciones vlidas y no vlidas, hay un
riesgo de que la debilidad de control relevante pueda seguir sin ser detectada. Los cambios en el programa,
por el perodo cubierto por la auditora, pueden haberse efectuado para depurar o para funcionalidades
adicionales. Sin embargo, como el mtodo de datos de prueba involucra la prueba de datos para el
perodo
de auditora,
los cambios
en el programa
probado
pueden
tener unexistentes
impactouna
mnimo.
importante
que un auditor
de SI identifique
y evale los
controles
y la seguridad
vez queLas
las
En el curso de la realizacin de un anlisis de riesgo, un auditor de SI ha identificado Es
aplicaciones
con
la
tecnologa
actual
por
lo
general
no
son
afectadas
por
las
transacciones
adicionales.
Los
amenazas potenciales y los impactos posibles estn identificados. Al concluirse una auditora, un auditor de SI
amenazas e impactos potenciales. Inmediatamente despus, un auditor de SI debe:
datos describir
de pruebay son
desarrollados
por las
el auditor,
sinyembargo,
no espotenciales
necesario que
el procesamiento
debe
discutir
con la gerencia
amenazas
los impactos
sobre
los activos. sea bajo la
supervisin de un auditor, ya que los datos de entrada sern verificados por los datos de salida
(outputs).
No reportar una intrusin es equivalente a un auditor de SI que esconde una intrusin maliciosa, lo
cual sera un error profesional. A pesar de que puede requerirse la notificacin a la polica y que la falta
de un examen peridico de derechos de acceso podra ser una preocupacin, ellos no representan
una preocupacin tan grande como la de dejar de reportar un ataque. Reportar al pblico no es un
requisito y depende del deseo de la organizacin o de la falta del mismo de hacer saber sobre la intrusin.
Entender los requerimientos del negocio es clave para definir los niveles de servicio. Mientras
Durante una revisin de los controles sobre el proceso de definir los niveles de
servicios de TI, un auditor de SI entrevistara MS
que cada una de las otras entidades enumeradas puede suministrar alguna definicin la mejor eleccin
probablemente al:
aqu es el gerente de unidad de negocio, debido a los amplios conocimientos que tiene esta persona sobre los
requerimientos relacionados con la organizacin.
Cul de las siguientes opciones sera normalmente la evidencia MS confiable para un auditor?
La evidencia obtenida de terceros independientes casi siempre es considerada la ms confiable. Las respuestas B,
C y D no serian consideradas confiables.
Cul de los siguientes describe MEJOR una prueba integrada (integrated test facility—ITF)?
La respuesta A describe mejor una prueba integrada (integrated test facility—ITF), que es
un proceso de auditora especializado asistido por computadora que permite que auditor de SI pruebe
una aplicacin de manera continua. La respuesta B es un ejemplo de un archivo de revisin de control de
sistemas; las respuestas C y D son ejemplos de instantneas.
los efectos de los errores o irregularidades y son considerados exclusivamente como controles compensatorios.
La opcin D es incorrecta e irrelevante ya que la existencia y funcin de los controles es importante, no la
Un auditor de SI descubre evidencia de fraude perpetrado con la identificacin del
Las
debilidades de control de contrasea significan que cualquiera de las otras tres opciones
clasificacin.
usuario de un Gerente. El gerente haba escrito la contrasea, asignada por el administrador podra ser cierta. La seguridad de contrasea identificara normalmente al perpetrador. En este caso, no
del sistema, dentro del cajn/ la gaveta de su escritorio. El auditor de SI debera concluir que el:
establece culpa ms all de la duda.
Observando el personal de SI cuando realiza sus tareas, el auditor de SI puede identificar si ellos estn realizando
operaciones no compatibles y entrevistando el personal de SI el auditor puede obtener un panorama general de las
tareas realizadas. Basado en las observaciones y entrevistas, el auditor puede evaluar la segregacin de funciones.
La gerencia no puede estar en conocimiento de las funciones detalladas de cada empleado en el departamento de
SI, por lo tanto, la discusin con la gerencia proveera solo informacin limitada respecto a la segregacin de
Comofunciones.
el nombreUn no
es el mismo
( debido
a variaciones
de los
nombres
), un mtodo
organigrama
no proveera
detalles
de las funciones
de primeros
los empleados
y la prueba
de los
para
detectar
duplicaciones
seria
comparar
otros
campos
comunes,
como
por
ejemplo
las
direcciones
Y
derechos de usuario proveera informacin sobre los derechos que ellos tienen dentro de los sistemas
podra entonces seguidamente llevarse a cabo una revisin para determinar los nombres
de
los
de SI, pero no
clientes
en
estas
direcciones.
Buscar
los
nmeros
de
cuenta
duplicados
probablemente
no hallara
proveera informacin completa sobre las funciones que ellos desempean.
duplicaciones de nombres ya que lo mas probable es que los clientes tengan nmeros de cuenta diferentes
Cul de las siguientes sera la MEJOR poblacin de la cual tomar una muestra cuando un programa en para cada combinacin. Los datos de prueba no serian tiles para detectar la extensin de cualquier
el
sistema automatizado.
Las bibliotecas
de produccin
representan
ejecutables
pruebas cambia?
caracterstica
de dato, sino simplemente
para determinar
como fueron
procesados
los datos.que estn aprobados y
autorizados para procesar los datos de la organizacin. Los listados de programa fuente serian intensivos en el
ninguna garanta de que hayan sido elaboradas las solicitudes para todos los cambios. Los listados de biblioteca de
Una
facilidad
de prueba
integrada aprobados
se considera
una herramienta til de auditora porque usa los mismos
prueba
no representan
los ejecutables
y autorizados.
Una prueba integrada (integrated test facility—ITF) se considera una herramienta til de
programas
para
comparar
el
procesamiento
usando
datos calculados de manera independiente. Esto implica
auditora porque:
Qu tcnica de auditora provee la MEJOR evidencia de la segregacin de funciones en un
departamento de SI?
Para identificar el valor del inventario que se ha guardado (no han rotado) por ms de ocho
semanas, lo MS probable es que un auditor de
SI utilice:
Los diagramas de flujo de datos son usados por los Auditores de SI para:

El software generalizado de auditora facilitara la revisin de todo el archivo de inventario para buscar los
rubros que cumplan los criterios de seleccin. El software generalizado de auditora provee acceso directo a los
datos y provee funciones de cmputo, estratificacin, etc. Los datos de prueba son usados para verificar
programas, pero no confirmaran nada sobre las transacciones en cuestin. El uso de mtodos de
muestreo estadstico no pretende seleccionar condiciones especficas, sino que se usa para seleccionar
muestras
de de
manera
aleatoria
desdeayudas
un archivo.
En o
este
caso, el
el flujo
auditor
de SI querra
Los
diagramas
flujo de
datos seregistros
usan como
para graficar
diagramar
y almacenamiento
de
verificar
losrastrean
tem que
criterios
y no hasta
solo una
muestra resaltando
de ellos. Una
(integrated
datos,
contodos
ellos se
losrenen
datos desde
su origen
su destino,
las prueba
rutas y elintegrada
almacenamiento
de
test facility—ITF)
al auditor
de SI probar
transacciones
sistema en El
produccin.
los
datos. Los diagramaspermite
de flujo
no ordenan
los datos
en ningna travs
orden del
jerrquico.
flujo de los datos
no coincidir necesariamente con ningn orden jerrquico o de generacin de datos.
La evidencia obtenida de fuentes externas es por lo general ms confiable que la obtenida desde
dentro de la organizacin. Las cartas de confirmacin recibidas desde el exterior, como por ejemplo las
usadas para verificar los balances de cuentas por cobrar, son por lo general altamente confiables. La prueba
realizada por un auditor no puede ser confiable si el auditor no tenia un buen entendimiento del rea tcnica bajo
revisin.
Un organigrama provee informacin sobre las responsabilidades y la autoridad de personas en la organizacin.
Esto ayuda al auditor de SI a saber si hay una segregacin apropiada de funciones. Un diagrama de flujo de
trabajo proporcionara informacin sobre las funciones de diferentes empleados. Un diagrama de red proveer
informacin sobre el uso de diversos canales de comunicacin e indicar la conexin de los usuarios a la red.

Cul de los siguientes pasos realizara PRIMERO un auditor de SI normalmente en una revisin de Durante la planeacin, el auditor de SI debera obtener una visin general de las funciones que estn siendo
auditadas y evaluar los riesgos de auditora y de negocios. Las opciones A y D son parte del proceso de trabajo
seguridad del centro de datos?
de campo de la auditora que ocurre posterior a esta planeacin y preparacin. La opcin C no es parte de una
revisin de seguridad.
Un Auditor de sistemas que trate de determinar si el acceso a la documentacin de programas

MS probable es que:
Cul de las siguientes herramientas de auditora es la MS importante para un auditor de SI cuando Una herramienta de instantnea (snapshot) es ms til cuando se requiere una pista de auditora. ITF puede
usarse para incorporar transacciones de prueba en una corrida normal de produccin. CIS es til cuando las
se requiere una pista de auditora?
transacciones que renen ciertos criterios necesitan ser examinadas. Los ganchos de auditora son tiles cuando
slo se necesita examinar transacciones o procesos escogidos.
Un auditor de SI evala los resultados de prueba de una modificacin a un sistema que trata conEl auditor de SI debera luego examinar casos donde ocurrieron clculos incorrectos y confirmar
cmputo de pagos. El auditor encuentra que el 50 % de los clculos no coinciden con los totaleslos resultados. Despus de que los clculos hayan sido confirmados, ms pruebas pueden ser
predeterminados. Cul de los siguientes es MS probable que sea el siguiente paso en la auditora? llevadas a cabo y revisadas. La preparacin de reportes, hallazgos y recomendaciones no se hara hasta que
todos los resultados fueran confirmados.
Preparar transacciones simuladas para procesar y comparar los resultados con resultados predeterminados es
el MEJOR mtodo para probar la correccin de un clculo de impuestos. La revisin visual detallada, la
creacin de diagramas de flujo y el anlisis de cdigo fuente no son mtodos efectivos, y los totales mensuales
Un control de revisin de aplicaciones implica la evaluacin de los controles automatizados de la

aplicacin y una evaluacin de cualesquiera exposiciones resultantes de las debilidades del control. Las
otras opciones pueden ser objetivos de una auditora de aplicacin pero no forman parte de una
auditora restringida a una revisin de controles.
Cuando comunican los resultados de auditora, los auditores de SI deben recordar que en ltima
instancia ellos son los responsables ante:
Una accin correctiva ha sido tomada por un auditado inmediatamente despus de la

identificacin de un hallazgo que debera ser reportado. El auditor debe:
Preguntar a los programadores sobre los procedimientos que se estn siguiendo actualmente es
til para determinar si el acceso a la documentacin de programas est restringido a las personas
autorizadas. Evaluar los planes de retencin de registros para almacenamiento fuera de las
Una
prueba integrada
crea una entidad
en la base
datos apara
procesar
de prueba
la documentacin
de programas.
Probarficticia
la seguridad
dede
acceso
archivos
de transacciones
datos no resuelve
la
simultneamente
con
la
entrada
en
vivo.
Su
ventaja
es
que
las
pruebas
peridicas
no
requieren
procesos
separados de prueba. Sin embargo, es necesaria una planeacin cuidadosa y los datos de prueba deben ser
aislados de los datos de produccin.
El auditor de SI es en ltima instancia responsable ante la alta gerencia y ante el comit de auditora de
la junta directiva. Incluso si el auditor de SI debe discutir los hallazgos con el personal de gerencia de la
entidad auditada (opcin B), ello se hace nicamente para obtener acuerdo sobre los hallazgos y para
desarrollar un curso de accin correctiva. La opcin C es incorrecta porque el director de auditora de SI debe
revisar el reporte que el auditor de SI prepar, pero no es la persona que tomar las decisiones respecto a los
Incluir
el hallazgo
en el reportepotenciales.
final es una
generalmente
Si se emprende
unaa
hallazgos
y sus consecuencias
Laprctica
opcin de
D auditora
es incorrecta
porque laaceptada.
responsabilidad
de reportar
accin
despus
de
que
comenz
la
auditora
y
antes
de
que
terminara,
el
reporte
de
auditora
debe
las autoridades judiciales descansara en la junta directiva y sus asesores legales.
identificar el hallazgo y describir la accin correctiva tomada. Un reporte de auditora debe reflejar la
situacin, tal como sta exista en el comienzo de la auditora. Todas las acciones correctivas emprendidas por el
Durante una revisin de implementacin de una aplicacin distribuida multiusuario,

auditor de SI encuentra debilidades menores en tres reas—La disposicin inicial
parmetros est instalada incorrectamente, se estn usando contraseas dbiles
algunos reportes vitales no se estn verificando debidamente. Mientras se prepara el informe
auditora, el auditor de SI debera:
La funcin tradicional de un auditor de SI en una autoevaluacin de control (control selfassessment—CSA) debe ser la de
Un auditor de SI revisando la efectividad de los controles de TI, encontr un

informe de auditora anterior, sin documentos de trabajo.
Cmo debe proceder el auditor de SI?
elLas debilidades individualmente son de menor importancia, sin embargo, juntas tienen el
depotencial de debilitar sustancialmente la estructura general de control. Las opciones A y D reflejan
yuna falla de parte del auditor de SI para reconocer el efecto combinado de la debilidad de control.
deAdvertir al gerente local sin reportar los hechos y observaciones ocultara los hallazgos de los otras partes
interesadas.
Cuando se establecen los programas de CSA, los auditores de SI se convierten en profesionales
de control interno y en facilitadores de evaluaciones. Los auditores de SI son los facilitadores y el
cliente (gerencia y personal) es el participante en el proceso de CSA. Durante un taller de CSA, en vez
de que el auditor de SI realice procedimientos detallados de auditora, debera conducir y orientar a
los clientes para evaluar su ambiente. Las opciones B, C y D no deben ser la funcin del auditor de SI.
En ausencia de documentos de trabajo de auditora, un auditor de SI debe volver a probar los controles para
Estas funciones son ms apropiadas para el cliente.
ver su efectividad. Sin volver a probar el auditor no estar ejerciendo el debido cuidado profesional
mientras realiza la auditora. Los documentos de trabajo pueden ayudar al auditor a eliminar la necesidad
de volver a probar; sin embargo, el auditor debe estar preparado para volver a probar los controles.
Para desarrollar una estrategia de auditora basada en el riesgo, es crtico que se entiendan los
Cuando se est desarrollando una estrategia de auditora basada en el riesgo, un auditor
riesgos y vulnerabilidades.
Esto determinar las reas a ser auditadas y la extensin de la cobertura.
de SI debe llevar a cabo una evaluacin del riesgo para asegurar que:
Entender si los controles apropiados requeridos para mitigar los riesgos estn instalados es un efecto
resultante de una auditora. Los riesgos de auditora son aspectos inherentes de la auditora,
estn directamente relacionados con el proceso de auditora y no son relevantes para el anlisis
Si los auditados no estuvieran de acuerdo con el impacto de un hallazgo, es importante que el auditor
de riesgo del entorno a ser auditado.
El anlisis de brecha por lo general se hara para
En los casos en que hay desacuerdo, durante una entrevista de salida, respecto al impacto de un
de SI elabore y aclare los riesgos y exposiciones, ya que es posible que los auditados no aprecien
hallazgo, el auditor de SI debe:
comparar el estado real de un estado esperado o deseable.
totalmente la magnitud de la exposicin.
La meta debe ser explicar a los auditados o
descubrir nueva informacin
de que
el auditor
de SI
puede
no
haber estado
en
conocimiento.
Cualquier cosa
que parezca amenazar a los auditados
reducir las
El
objetivo primario
de un yprograma
deuna
CSArelacin
es repaldar
la funcin
auditora
algunas
comunicaciones
efectivas
establecer
adversa.
Porde la
misma interna
razn, pasando
el auditor
de de
SI
El xito de la autoevaluacin de control (CSA) depende en gran medida de:
las
responsabilidades
de
monitoreo
de
control
a
los
gerentes
de
lnea
del
rea
funcional.
El
xito
de
no debe aceptar automticamente porque los auditados expresen un punto de vista alterno.
un programa de autoevaluacin de control (CSA) depende del grado en el que los gerentes de
lnea asumen la responsabilidad de los controles. Las opciones B, C y D son caractersticas de un mtodo
tradicional de auditora, no de un mtodo de CSA.
Para asegurar que los recursos de auditora entreguen el mejor valor a la organizacin, el PRIMER Monitorear el tiempo (A) y los programas de auditora (D), as como tambin una capacitacin
adecuada (B) mejorar la productividad del personal de auditora de SI (eficiencia y desempeo),
paso sera:
pero lo que entrega valor a la organizacin son los recursos y esfuerzos que se estn
dedicando y que estn concentrados en las reas de mayor riesgo.
En una auditora de una aplicacin de inventario, qu mtodo proveer la MEJOR evidencia de que Para determinar la validez de la orden de compra, probar los controles de acceso proveer la mejor
evidencia. Las opciones B y C estn basadas en mtodos posteriores al hecho, y la opcin D no sirve
las rdenes de compra son vlidas?
al propsito porque lo que est en la documentacin del sistema puede no ser lo mismo que
lo que est ocurriendo.
Un auditor de SI debe usar muestreo estadstico y no muestreo de juicio (no estadstico), cuando:
Dada una tasa de error esperado y un nivel de confianza, el muestreo estadstico es un

mtodo objetivo de muestreo, que ayuda a un auditor de SI a determinar el tamao de la muestra
y a cuantificar la probabilidad de error (coeficiente de confianza). La opcin B es incorrecta porque el riesgo
de muestreo es el riesgo de que una muestra no sea representativa de la poblacin. Este riesgo existe tanto
para las muestras de juicio como para las muestras estadsticas. La opcin C es incorrecta porque el muestreo
Cul de las siguientes tcnicas en lnea es ms efectiva para la deteccin temprana de errores o
irregularidades?
revisar:
Al llevar a cabo una auditora, un auditor de SI detecta la presencia de un virus. Cul debe ser el
siguiente paso del auditor de SI?
Los riesgos asociados con recopilar evidencia electrnica es MS probable que se reduzcan, en el
caso de un e-mail, por una:
Cul de los siguientes es el objetivo PRIMARIO de un proceso de medicin de

desempeo/performancia de TI?
La tcnica del gancho de auditora implica integrar cdigo en los sistemas de aplicacin para el examen de
transacciones seleccionadas. Esto ayuda al auditor de SI a actuar ante un error o una irregularidad se
sale de control. Un modulo integrado de auditora implica integrar software escrito especialmente en el
sistema anfitrin de aplicacin de la organizacin para que los sistemas de aplicacin sean
monitoreados de manera selectiva. Una facilidad integrada de prueba se usa cuando no es prctico usar
El
pasoy las
para
evaluar olos
controles
de cuando
monitoreo
de la una
redpista
debe
ser la revisin de la
datosprimer
de prueba,
instantneas
snapshots
se usan
se requiere
de auditora.
adecuacin de documentacin de red, especficamente los diagramas de topologa. Si esta informacin no
est actualizada, entonces los procesos de monitoreo y la capacidad para diagnosticar los problemas no sern
efectivos.
Lo primero que un auditor de SI debe hacer despus de detectar el virus es alertar sobre su presencia a la
organizacin, luego esperar la respuesta de sta. La opcin A se debe emprender despus de la opcin C.
Esto permitir al auditor de SI examinar la funcionalidad y la efectividad del sistema de respuesta. El
auditor de SI no debe hacer cambios al sistema que est siendo auditado, y asegurar la eliminacin del virus es
una responsabilidad de la gerencia.
Con una poltica de registros de e-mail bien archivados, es posible el acceso a o la recuperacin de registros de
e-mails especficos, sin revelar otros registros de e-mail confidenciales. Las polticas de seguridad y/o
polticas de auditora no resolveran la eficiencia de recuperacin de registros, y destruir e-mails
puede ser un acto ilegal.
Un proceso de medicin del desempeo/performancia de TI puede usarse para optimizar el

desempeo/performancia, medir y administrar productos
/servicios, asegurar la responsabilidad y tomar decisiones de presupuesto. Minimizar errores es un
aspecto del desempeo/performancia, pero no es el objetivo primario de la administracin del
desempeo/performancia. Recopilar datos de desempeo/performancia es una etapa del proceso de medicin de
Un mtodo de abajo hacia arriba comienza por definir los requerimientos y polticas de nivel operativo, que
La ventaja de un mtodo de abajo hacia arriba para el desarrollo de polticas organizativas es que las TI
se
y seevaluar
implementan
como el resultado decontra
evaluaciones
de riesgo.
Las polticas a nivel de
la empresa
y sederivan
usara para
el desempeo/performancia
lneas base
de desempeo/performancia
establecidas
polticas:
anteriormente.
se
desarrollan posteriormente con base en una sntesis de las polticas operativas existentes. Las opciones A, C y
D son ventajas de un mtodo de arriba hacia abajo para desarrollar polticas organizativas. Este mtodo asegura
que las polticas no estn en conflicto con la poltica corporativa general y asegura la consistencia en toda la
Para asegurar su contribucin a la realizacin de las metas generales de una organizacin, el departamento de SI
Para soportar las metas de una organizacin, el departamento de SI debe tener:
organizacin.
debe tener planes de largo y corto plazo que sean consistentes con los planes ms amplios de la
organizacin para alcanzar sus metas. Las opciones A y C son objetivos, y se necesitaran planes para
delinear cmo se alcanzara cada uno de los objetivos. La opcin D podra ser parte del plan general pero
se requerira solamente si se necesitara hardware o software para lograr las metas organizativas.
La funcin de un comit de seguimiento de TI es asegurar que el departamento de SI est en armona con la
Un comit de seguimiento de TI revisara los sistemas de informacin PRIMARIAMENTE para
misin y los objetivos de la organizacin. Para asegurar esto, el comit debe determinar si los procesos
determinar:
de TI soportan los requerimientos del negocio. Analizar la funcionalidad adicional propuesta, y
evaluar tanto la estabilidad del software como la complejidad de la tecnologa, son aspectos
demasiado
en de
su control,
alcance lapara
asegurar de
que unlostrabajo
procesosdebe
de TIestablecer
estn, en responsabilidad
efecto, soportando
Desde una estrechos
perspectiva
descripcin
y
Desde una perspectiva de control, el elemento clave en las descripciones de trabajos es que:
las
metas
la organizacin.
deber
dedereportar/imputabilidad
(accountability). Esto ayudar a asegurar que se d a los usuarios acceso al
sistema en conformidad con las responsabilidades definidas de su trabajo. Las otras opciones no
estn directamente relacionadas con los controles. Proveer instrucciones sobre cmo hacer el
trabajo y definir la autoridad, resuelve los aspectos gerenciales y de procedimiento del trabajo. Es
El efecto MS probable de la falta de participacin de la alta gerencia en la planeacin estratgica de Debe existir un comit de seguimiento para asegurar que las estrategias de TI soporten las metas de la
organizacin. La ausencia de un comit de tecnologa de informacin o un comit no compuesto de
TI es:
altos gerentes sera una indicacin de falta de participacin de la alta gerencia. Esta condicin aumentara el
riesgo de que TI no est a la altura de la estrategia de la organizacin.
Cul de lo siguiente proveera MEJOR garanta de la integridad del nuevo personal?
Cul de los siguientes es el MAYOR riesgo de la definicin de una poltica inadecuada para
propiedad de datos y de sistemas?
El objetivo PRIMARIO de una auditora de las polticas de seguridad de TI es asegurar que:
Los objetivos de control de TI son tiles para los auditores de SI, ya que ellos proveen la base para
entender:
Al revisar el plan de corto plazo (tctico) de SI, el auditor de SI debe determinar si:
Cul de los siguientes sera un control compensatorio para mitigar los riesgos resultantes de una
segregacin inadecuada de funciones?
Cul de los siguientes es una funcin de un comit de direccin de SI?
La velocidad de cambio de la tecnologa aumenta la importancia de:
Una investigacin de los antecedentes es el mtodo primario para asegurar la integridad de un

prospectivo miembro del personal. Las referencias son importantes y sera necesario verificarlas, pero
no son tan fiables como la investigacin de los antecedentes. La fianza est referenciando al cumplimiento de
la debida diligencia, no a la integridad, y las calificaciones/habilidades indicadas en un rsum/curriculum
vitae/hoja de vida, pueden no ser correctas.
Sin una poltica que defina quin tiene la responsabilidad de otorgar acceso a sistemas especficos,
hay un mayor riesgo de que uno pueda obtener (se le pueda dar a uno) acceso al sistema cuando
de hecho esa persona no debera tener autorizacin. La asignacin de autoridad para otorgar acceso a
usuarios especficos, implica una mejor probabilidad de que los objetivos del negocio sern debidamente
respaldados.
La orientacin del negocio debe ser el tema principal al implementar la seguridad. Por ello,
una auditora de las polticas de seguridad de TI debe primordialmente concentrarse en si las
polticas de seguridad y control de TI y relacionadas respaldan los objetivos del negocio y de
TI. Revisar si las polticas estn disponibles para todos es un objetivo, pero la distribucin no
asegura el cumplimiento. La disponibilidad de organigramas con descripciones de las funciones y
Un
objetivo dedecontrol
de TI se define
comoincluirse
la declaracin
resultado deseado
propsito
a ser alcanzado
segregacin
las funciones,
podra
en ladelrevisin,
pero noo el
son
el objetivo
primario
implementando
de control
en una actividad particular de TI. Ellos proveen los objetivos
de una auditoraprocedimientos
de las polticas
de seguridad.
verdaderos para implementar controles y pueden o no ser las mejores prcticas. Las tcnicas son el medio de
alcanzar un objetivo, y una poltica de seguridad es un subconjunto de objetivos de control de TI.
La integracin de SI y del personal de negocios en los proyectos es un aspecto operativo y debe ser considerado
mientras se revisa el plan de corto plazo. Un plan estratgico proveera un marco para el plan de corto plazo de
SI. Las opciones B, C y D son reas cubiertas por un plan estratgico.
Las reconciliaciones de control de lote son un ejemplo de controles compensatorios. Otros
ejemplos de controles compensatorios son las bitcoras de transacciones, las pruebas de razonabilidad,
las revisiones independientes y las pistas de auditora tales como bitcoras de consola, bitcoras de biblioteca y
la fecha de contabilidad del trabajo. Las verificaciones de secuencia y los dgitos de verificacin
son ediciones de validacin de datos y la retencin de documentacin fuente es un ejemplo de un
El comit de direccin de SI tpicamente sirve como una junta general de revisin para los principales
control de archivo de datos.
proyectos de SI y no debe involucrarse en operaciones de rutina, por lo tanto, una de sus funciones es
aprobar y monitorear los principales proyectos, la situacin de los planes y presupuestos de SI. El control de
cambio de vendedor es un aspecto de outsourcing y debe ser monitoreado por la gerencia de SI. Asegurar una
separacin de funciones dentro del entorno de procesamiento de la informacin es una responsabilidad de
El
cambiode requiere
que entre
se elimplementen
buenos finales
procesos
de funcin
administracin
de
la gerencia
SI. El enlace
departamentoyde ejecuten
SI y los usuarios
es una
de las partes
cambios.
outsourcing a la funcin de SI no est directamente relacionado con la
individualesHacer
y no deun
un comit.
velocidad de cambio tecnolgico. El personal en un departamento tpico de SI est altamente
calificado y educado, por lo general no siente que sus puestos de trabajo estn en riesgo y estn preparados
Una organizacin que adquiere otros negocios contina sus sistemas heredados de EDI, y Los acuerdos escritos asistiran a la gerencia a asegurar el cumplimiento de los requerimientos
usa tres proveedores separados de red de valor agregado (VAN). No existe ningn acuerdo externos. Mientras que la gerencia debe obtener garanta independiente de cumplimiento, ello no se
puede lograr hasta que exista un contrato. Un aspecto de administrar servicios de terceros es proveer
escrito de VAN. El auditor de SI debe recomendar a la gerencia que:
monitoreo, sin embargo, esto no se puede lograr hasta que exista un contrato. Asegurar que se disponga de
acuerdos de VAN para revisin, puede ayudar al desarrollo de planes de continuidad si se les considera
La inactividad de SI como por ejemplo el tiempo improductivo, es tratada por los reportes de disponibilidad.
Cul de los siguientes reportes debe utilizar un auditor para verificar el cumplimiento de un recursos crticos de TI, sin embargo, esto no se puede lograr hasta que exista un contrato.
Estos reportes proveen los perodos de tiempo durante los cuales la computadora estuvo disponible para
requerimiento de acuerdo de nivel de servicio
ser utilizada por los usuarios o por otros procesos. Los reportes de utilizacin documentan el uso de
(SLA) para tiempo productivo?
equipos de computadora, y pueden ser usados por la gerencia para predecir cmo /dnde
/cundo se requieren recursos. Los reportes de error de hardware proveen informacin para ayudar
Es responsabilidad de la gerencia de unidad de negocio implementar controles eficientes en costos en un
a detectar las fallas de hardware y para iniciar una accin correctiva. Las bitcoras de sistema son un registro
La implementacin de controles eficientes en costos en un sistema automatizado es en ltima
sistema automatizado. Ellos son el mejor grupo en una organizacin que sabe qu activos de
instancia responsabilidad de:
de las actividades del sistema.
informacin
necesitan ser asegurados
en trminos
de disponibilidad,
confidencialidad e
integridad. Los administradores de sistemas se ocupan de los servicios relacionados con los requerimientos
del sistema del grupo de la gerencia del usuario. La funcin de garanta de calidad se ocupa de la calidad
Todos
empleados
tenerde
conocimiento
de la poltica
de seguridad
decumplimiento
la empresa para
prevenir
la
Un auditor de SI encuentra que no todos los empleados tienen conocimiento de la
generallos
de los
sistemas.deben
El grupo
auditora analizar
o examinar
el nivel de
de los
controles
revelacin
noprocedimientos
intencional de
informacin
sensitiva. La capacitacin es un control preventivo. Los
poltica de seguridad de informacin de la empresa. El auditor de SI debe concluir que:
con
polticas,
o prcticas
escritos.
programas de concientizacin de la seguridad para los empleados puede prevenir la revelacin no
intencional de informacin sensitiva a personas ajenas.
Un organigrama provee informacin sobre las responsabilidades y la autoridad de personas en la
organizacin. Esto ayuda al auditor de SI a saber si hay una segregacin apropiada de funciones. Un diagrama
de flujo de trabajo proporcionara informacin sobre las funciones de diferentes empleados. Un diagrama
de red proveer informacin sobre el uso de diversos canales de comunicacin e indicar la conexin de los
usuarios a la red.
El dueo de aplicacin es responsable de autorizar el acceso a los datos. El desarrollo y programacin de
Cul de las siguientes funciones debe ser realizada por los dueos de aplicacin para asegurar
aplicaciones son funciones del departamento de SI. En forma similar, el anlisis de sistemas debe ser
una segregacin adecuada de tareas entre SI y los usuarios finales?
efectuado por personas calificadas de SI que tengan conocimientos de SI y de los requerimientos
del usuario. La administracin de datos es una funcin especializada relacionada con los sistemas de
administracin de base de datos y debe ser ejecutada por los administradores calificados de base de datos.
Existe una probabilidad de que un empleado despedido pueda hacer mal uso de los derechos de
Cuando un empleado es despedido de su servicio, la accin MS importante es:
acceso, por lo tanto, inhabilitar el acceso lgico de un empleado terminado es la accin ms
importante que se debe emprender. Todo el trabajo del empleado terminado necesita ser entregado
a un empleado designado, sin embargo, esto debe efectuarse despus de implementar la opcin
D. Se debe hacer copia de respaldo de todo el trabajo del empleado despedido, y se debe notificar
El departamento de IS debe considerar especficamente la forma en que se asignan los recursos
Qu es lo que un auditor de sistemas considerara MS relevante para la planificacin de corto plazo a los empleados de la terminacin del empleado, pero esto no debe preceder a la accin en la opcin D.
en el corto plazo. Las inversiones en TI necesitan estar alineadas con las estrategias principales de la
para el departamento de IS?
administracin, en lugar de concentrarse en la tecnologa por la tecnologa en s misma. Llevar a cabo estudios
de auto evaluacin de control y evaluar las necesidades de hardware no es tan crtico como asignar los recursos
durante la planificacin de corto plazo para el departamento de IS.
La planeacin estratgica pone en movimiento objetivos corporativos o departamentales. La planeacin
Cul de las metas siguientes esperara usted encontrar en el plan estratgico de una organizacin?
comprehensiva ayuda a asegurar una organizacin efectiva y eficiente. La planeacin estratgica est
orientada al tiempo y a los proyectos, pero tambin debe resolver y ayudar a determinar prioridades
para satisfacer las necesidades del negocio. Los planes de largo y corto plazo deberan ser consistentes con los
El paso inicial para establecer un programa de seguridad de informacin es:
Una declaracin de poltica refleja la intencin y el respaldo brindado por la gerencia ejecutiva para una
seguridad apropiada y establece un punto de inicio para desarrollar el programa de seguridad.
Cul de los siguientes se encontrara normalmente en los manuales ejecucin de aplicaciones?
Los manuales de ejecucin de aplicaciones deberan incluir acciones que deben ser emprendidas por un
operador cuando ocurre un error. Los documentos fuente y el cdigo fuente son irrelevantes para el
operador. A pesar de que los diagramas de flujo de datos pueden ser tiles, los diagramas detallados
de programa y las definiciones de archivo no lo son.
De las funciones siguientes, cul es la funcin MS importante que debe realizar la administracin En un ambiente de outsourcing, la compaa depende del desempeo del proveedor del servicio. Por esta razn,
es crtico que se monitoree el desempeo del proveedor de outsourcing para asegurar que ste preste a la
de TI cuando se ha dado un servicio para realizarse por outsourcing?
compaa los servicios que se requieran. El pago de las facturas es una funcin financiera que se hara por
requerimientos contractuales. Participar en el diseo de sistemas es un subproducto del monitoreo del
desempeo del proveedor de outsourcing, mientras que los honorarios de renegociacin son por lo general una
Un administrador de sistema realiza diversas funciones usando el admin/raz o un login equivalente. Este
Cul de las siguientes funciones sera una preocupacin si se efectuara junto con administracin de actividad que se lleva a cabo una sola vez.
login permite al administrador de sistema tener un acceso ilimitado a los recursos del sistema. El nico
sistemas?
control sobre las actividades del administrador de sistema es la pista de auditora del sistema, es por eso que
sta debera ser revisada por otro que no sea el administrador de sistema. El mantenimiento de las
reglas
de acceso, de
las perodos
funcionescontables
de bibliotecario
y el monitoreo
pueden
ser asignados
El establecimiento
es una dedelasdatos
actividades
crticas del
de desempeo
la funcin de
finanzas.
Otorgar
################################################################################# al administrador de sistema.
acceso a esta funcin al personal en el almacn y en el ingreso de rdenes podra ser a causa de una falta
############################
de polticas y procedimientos apropiados para la segregacin adecuada de funciones. Los perodos
contables no deberan ser cambiados a intervalos regulares, sino que se deberan establecer de manera
permanente. El requerimiento de registrar las entradas por un perodo contable cerrado es un riesgo. Si fuera
La
verificacin
peridica
de los
sera
el mtodo
efectivoLade
identificar
los
necesario,
esto debera
ser hecho
por discos
alguien duros
en el rea
de finanzas
o de ms
contabilidad.
necesidad
de crear
Cul de los siguientes procedimientos detectara en forma MS efectiva la carga de paquetes de
paquetes
de
software
ilegal
cargados
a
la
red.
El
software
antivirus
no
identificar
necesariamente
el
/modificar el cuadro de cuentas y sus asignaciones es responsabilidad del departamento de finanzas y no es una
software ilegal a una red?
software que
ilegal
a menos
que el software
contengadeun
virus. o Las
estaciones
de trabajo sin disco duro actan
funcin
debera
ser realizada
por el personal
almacn
de ingreso
de rdenes.
como un control preventivo y no son efectivas ya que los usuarios podra an as cargar software
desde otras estaciones de trabajo que tengan disco duro. Las polticas establecen las reglas sobre la carga
Para ser efectiva, una poltica de seguridad de informacin debera llegar a todos los miembros del
Cuando se ha diseado una poltica de seguridad de informacin, lo MS importante es que la poltica de software, pero no detectarn si efectivamente ha ocurrido.
personal. Almacenar la poltica de seguridad fuera del sitio o en un lugar seguro puede ser aconsejable
de seguridad de informacin sea:
pero de poco valor si su contenido no es conocido por los empleados de la organizacin. La
poltica de seguridad de informacin debera ser escrita por los gerentes de unidad de negocios incluyendo SI,
pero no exclusivamente por los gerentes de SI. Actualizar la poltica de seguridad de informacin es importante
La gerencia debera asegurar que todos los activos de informacin (datos y sistemas) tengan un
La responsabilidad de rendir cuentas del mantenimiento de medidas de seguridad apropiadas sobre
pero no asegurar su divulgacin.
propietario designado que tome las decisiones sobre clasificacin y derechos de acceso. Los
los activos de informacin reside en:
propietarios de sistema tpicamente delegan la custodia cotidiana al grupo de entrega /operaciones de
sistemas y las responsabilidades de seguridad a un administrador de seguridad. Los propietarios, sin
embargo, siguen estando obligados a rendir cuenta del mantenimiento de medidas de seguridad apropiadas.
################################################################################# Es imperativo que se establezcan procedimientos formales escritos de aprobacin para establecer la
responsabilidad de rendir cuenta. Esto es verdad tanto para los niveles del gerente de SI como para los
############################
niveles superiores de la gerencia. Las opciones A, C y D sera recomendaciones subsiguientes una vez que se
haya establecido la autoridad.
La responsabilidad y las lneas de reporte no pueden siempre ser establecidas cuando se auditan
sistemas automatizados ya que:
A causa de la naturaleza diversificada tanto de datos como de sistemas de aplicacin, puede ser difcil establecer
el verdadero propietario de los datos y de las aplicaciones.
Cul de los siguientes considerara un auditor de SI que es MS importante cuando se evala la

estrategia de una organizacin? Que:
La planeacin estratgica pone en movimiento objetivos corporativos o departamentales Tanto los

planes estratgicos a largo plazo como a corto plazo deberan ser consistentes con los planes ms
amplios de la organizacin y los objetivos del negocio para alcanzar estas metas. La respuesta A es incorrecta
ya que la gerencia de lnea prepar los planes.
Un administrador de datos es responsable de:
Un administrador de datos es responsable de definir los elementos de datos, nombres de datos, y su

relacin. Las opciones A, C y D son funciones de un administrador de base de datos administrador de base
de datos (DBA).
El desarrollo de una poltica de seguridad de SI es resposabilidad de:
Cul de los siguientes programas es MS probable que una poltica sana de seguridad de
informacin incluira, para manejar las intrusiones sospechosas?
A diferencia de otras polticas corporativas, el marco de la poltica de seguridad de sistemas es responsabilidad

de la direccin general, la junta directiva. El departamento de SI es responsable de la ejecucin de la
poltica, no teniendo ninguna autoridad en el enmarcado de la poltica. El comit de seguridad
tambin funciona dentro de la amplia poltica de seguridad definida por la junta directiva. El
administrador de la seguridad es responsable de implementar, monitorear y hacer cumplir las reglas de
Una
poltica
de seguridad
de SIy autorizado.
es ms probable que esboce un programa de respuesta para
seguridad
quesana
la gerencia
ha establecido
manejar las intrusiones sospechosas. Los programas de correccin, deteccin y monitoreo son todos
aspectos de seguridad de informacin, pero probablemente no sern incluidos en una declaracin de poltica
de seguridad de SI.
Los mtodos de anlisis proveen un mecanismo, por el cual la gerencia de SI puede determinar cundo y si las
Cul de lo siguiente proveera un mecanismo por el cual la gerencia de SI puede
actividades de la organizacin se han desviado de los niveles planeados o de los esperados. Estos mtodos
determinar cundo, y si, las actividades de la empresa se han desviado de los niveles planeados, o
incluyen los presupuestos de SI, la planeacin de la capacidad y del crecimiento, los estndares
de los esperados?
/puntos de referencia de la industria, las prcticas de gerencia financiera y el logro de las metas. La gerencia de
calidad es el medio por el cual los procesos basados en el departamento de SI son controlados, medidos y
Los programas de produccin se usan para procesar los datos reales y corrientes de la empresa. Es imperativo
mejorados. Los principios de gerencia difieren dependiendo de la naturaleza del departamento de SI. Ellos se
Cul de las siguientes situaciones aumentara la probabilidad de fraude?
asegurar que los controles de los cambios a los programas de produccin sean tan estrictos como para
concentran en reas tales como la gente, el cambio, los procesos, la seguridad, etc. Los estndares /puntos de
los programas originales. La falta de control en esta rea podra tener como resultado que los
referencia de la industria proveen un medio de determinar el nivel de desempeo provisto por
programas de aplicacin sean modificados de manera que manipulen los datos. A los programadores de
entornos similares de instalaciones de procesamiento de informacin. Estos estndares, o
aplicaciones se les exige que implementen cambios en los programas de prueba. Estos son usados nicamente
estadsticas de referencia se pueden obtener de los grupos de vendedores usuarios, publicaciones de la industria
en el
desarrollo,
y noimportante
impactan directamente
el procesamiento
vivoes deadvertir
los datos.
de soporte
primera
y profesionales.
ms
responsabilidad
del auditor deen SI
a El
la personal
alta gerencia
################################################################################ La
y asociaciones
de
operaciones
cambios
cronogramas de
slo afectar
la funcin
programacin
de los
#############################
sobre
el riesgo que
queimplementa
implica hacer
quea los
el administrador
delotes
seguridad
realice una
de
lotes.
Esto
no
afecta
los
datos
vivos.
A
los
administradores
de
base
de
datos
se
les
exige
que
implementen
operaciones. Esta es una violacin de la separacin de funciones. El auditor de SI no debera participar en el
cambios
a las estructuras de datos. Esto se requiere para que la reorganizacin de la base de datos permita
procesamiento.
adiciones, modificaciones eliminacin de campos o de tablas en la base de datos. La probabilidad
Las vacaciones requeridas de una semana o ms de duracin en la que alguien que no sea el empleado
de fraude a causa de dichos cambios es remota ya que estos cambios afectan los datos futuros y todos los
Muchas organizaciones requieren que todos los empleados toman una vacacin obligatoria de una
regular realice la funcin del puesto de trabajo es a menudo obligatoria para las posiciones
semana o ms para:
campos relacionados para todos los registros en la base de datos. Por lo tanto, no es viable ha
importantes. Esto reduce la oportunidad de cometer actos indebidos o ilegales, y durante este
tiempo puede ser posible descubrir cualquier actividad fraudulenta que estuviera ocurriendo. Las
opciones A, C y D todas podran ser beneficios de la organizacin provenientes de una poltica de
El grupo de garanta de calidad (quality assurance) es tpicamente responsable de:
La mejor forma de manejar las cintas magnticas obsoletas es desmagnetizarlas, porque esta accin
Cul de las siguientes es la MEJOR forma de manejar cintas magnticas obsoletas antes de disponer
impide la divulgacin no autorizada o accidental de informacin, y tambin impide que las cintas
de ellas?
obsoletas vuelvan a ser utilizadas. Sobrescribir o borrar las cintas puede ocasionar errores
magnticos
(considerar que son obsoletas), inhibiendo as la integridad de datos. Inicializar las etiquetas de cintas
Es importante llevar las actas detalladas de los comits de direccin para documentar las decisiones y las
Un comit de direccin de SI debe:
podra significar la reutilizacin potencial en algunos casos.
actividades del comit de direccin de SI, y la junta directiva debe ser informada a su debido tiempo. La
opcin A es incorrecta porque slo la gerencia principal o los niveles altos del personal deben
ser miembros de este comit debido a su misin estratgica. La opcin B no es una responsabilidad de este
comit sino la responsabilidad del administrador de seguridad. La opcin D es incorrecta porque para
Un
administrador
de base
de datos oessoftware,
responsable
de crear debe
y controlar
la base
de datos pero
lgicano
y
aprobar
una adquisicin
de hardware
un vendedor
ser invitado
a las reuniones,
Un administrador de base de datos es responsable de:
fsica.
Definir
la
propiedad
de
datos
recae
en
el
jefe
del
departamento
de
usuario
o
en
la
alta
gerencia
si
regularmente.
los datos son comunes para la organizacin. La gerencia de SI y el administrador de datos son responsables de
establecer normas operativas para el diccionario de datos. Establecer reglas bsicas para asegurar la integridad y
la seguridad de los datos en lnea con la poltica corporativa de seguridad es una funcin del administrador de
Los
planes estratgicos proveen la base para asegurar que la empresa cumpla sus metas y
La participacin de la alta gerencia es MS importante en el desarrollo de:
seguridad.
objetivos. La participacin de la alta gerencia es crtica para asegurar que el plan logra de manera
adecuada las metas y objetivos establecidos. Las polticas de SI, procedimientos, normas y lineamientos
estn todos estructurados para soportar el plan estratgico general.
Cul de los siguientes controles de ingreso de datos provee la MAYOR garanta de que los datos
ingresados no contienen errores?
Un administrador de LAN estara normalmente restringido de:
Un auditor de SI est revisando la funcin de administracin de base de datos para

determinar si se ha hecho la disposicin adecuada para controlar los datos. El auditor de SI
debera determinar que:
El grupo de garanta de calidad es tpicamente responsable de asegurar que los programas, cambios de
programas y documentacin se adhieran a las normas establecidas. La opcin A es la responsabilidad del grupo
de control de datos, la opcin B es responsabilidad de operaciones de computadora, y la opcin D es
responsabilidad de responsabilidad de datos.
La verificacin de llave o verificacin uno a uno rendir el grado ms alto de confianza de que los datos
ingresados estn libres de error. Sin embargo, esto podra ser imprctico para grandes cantidades de datos. La
segregacin de funciones de ingreso de datos proveniente de la verificacin de ingreso de datos es un control
adicional de ingreso de datos. Mantener una bitcora /registro detallando el tiempo, fecha, iniciales del empleado
/identidad del usuario y progreso de diversas tareas de preparacin y verificacin de datos, provee un rastro
Un
administrador
de de
LAN
no debera
tener responsabilidades
programacin
pero originales
puede tener
de auditora.
Un dgito
verificacin
es agregado
a los datos para de
asegurar
que los datos
no
responsabilidades
de usuario
final.
El administrador
de LAN
puede reportarse
al director
de la IPF o,
en una
hayan sido alterados.
Si un
dgito
de verificacin
es marcado
por error,
esto conducira
a aceptar
operacin
descentralizada,
al gerente
de usuario
final. Endatos
las organizaciones
pequeas,
el administrador de
datos incorrectos,
pero esto
slo aplicara
para aquellos
que tengan dgito
verificador.
LAN puede tambin ser responsable de la administracin de seguridad del LAN.
El auditor de SI debera determinar que las responsabilidades de la funcin de administracin de

base de datos no slo estn bien definidas sino tambin garantizan que el administrador de base de
datos (DBA) se reporte directamente al gerente de SI o al ejecutivo para proveer independencia,
autoridad y responsabilidad. El DBA no debe reportarse ni a la gerencia de procesamiento de operaciones de
datos ni a la gerencia de desarrollo de sistemas. El DBA no necesita ser un programador de sistemas competente.
La independencia debera ser constantemente evaluada por el auditor y la gerencia. Esta evaluacin
################################################################################# La opcin D no es tan importante como la opcin A.
debera considerar factores tales como las relaciones personales, los intereses financieros y previas
############################
asignaciones y responsabilidades del puesto de trabajo. El hecho que el empleado haya trabajado en
SI por muchos aos no puede por s mismo asegurar la credibilidad. Las necesidades del
Es apropiado que un auditor de SI de una compaa que est considerando hacer outsourcing de La responsabilidad primaria del auditor de SI es asegurar que los activos de la compaa estn siendo
su procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada
salvaguardados. Esto es verdad incluso si los activos no residen en las premisas inmediatas. Las oficinas
proveedor?
prestigiosas de servicio tendrn un plan de continuidad de negocio bien diseado y probado.
Una probable ventaja para una organizacin que ha efectuado outsourcing a su procesamiento de
servicios de datos es que:
Un auditor de SI debera preocuparse cuando un analista de telecomunicacin:
Outsourcing es un acuerdo contractual por el cual la organizacin entrega el control sobre una parte o
sobre la totalidad del procesamiento de informacin a una parte externa. Esto se hace con frecuencia para
adquirir recursos o experiencia adicionales que no se obtiene desde el interior de la organizacin.
Las responsabilidades de un analista de telecomunicaciones incluyen requerimientos de carga de

red en trminos de volmenes corrientes y futuros de transacciones (opcin B), evaluar el impacto de
la carga de red o los tiempos de respuesta de las terminales y las velocidades de transferencia de datos de red
(opcin C) y recomendar procedimientos y mejoras de balanceo de red (opcin D). Monitorear el
desempeo de los sistemas y rastrear los problemas como un resultado de los cambios de programa (opcin A)
Para asegurar la aprobacin de la gerencia de las actividades de administracin de base de datos y para ejercer
Cul de los siguientes es un control sobre las actividades de administracin de base de datos?
pondra al analista en una funcin de auto monitoreo.
control sobre la utilizacin de herramientas de base de datos, debera haber una revisin de supervisin de
los registros de acceso. Las actividades de administracin de base de datos incluyen entre otras, puntos de
verificacin de base de datos, tcnicas de compresin de base de datos, y procedimientos de
respaldo y recuperacin de datos establecidos e implementados para asegurar la disponibilidad de base de
De las opciones, el hardware y el control de acceso de software generalmente es irrelevante mientras la
Un auditor de SI que revisa un contrato de outsourcing de las instalaciones de TI esperara que ste datos.
funcionalidad, disponibilidad y seguridad puedan ser afectadas, lo cual sera una obligacin contractual
defina:
especfica. De manera similar, la metodologa de desarrollo no debera de real preocupacin. El contrato
debe, sin embargo, especificar quin es el dueo de la propiedad intelectual (i.e., la informacin que est
Un
analista
de sistemas
no debe derealizar
tareas La
de propiedad
garanta dede calidad
(QA, intelectual
siglas de los
trminos
en
siendo
procesada,
los programas
aplicacin).
la propiedad
tendr
un costo
Cul de las siguientes funciones representara un riesgo si se combinara con la de un ingls)
ya que
obstaculizar
la independencia,
debido
a que el
de sistemas es parte del equipo
significativo
y espodra
un aspecto
clave que debe
ser definido en
un contrato
deanalista
outsourcing.
analista de sistemas, debido a la falta de controles compensatorios?
que desarrolla /disea el software. Un analista de sistemas puede realizar las otras funciones. El mejor
ejemplo es un "programador ciudadano". Un programador ciudadano (nombre relacionado
con "ciudadano", porque stos tienen el derecho de hacer todo o cualquier cosa) que
tiene
a lasde herramientas
de respaldar
desarrollo elpoderosas
hacer
todos
los aspectos
planacceso
estratgico
TI existe para
plan de puede
negocios
de la
organizacin.
Paramientras
Un auditor de SI que revisa el plan estratgico de TI de una organizacin debera PRIMERO revisar: El
desarrolla
software
(diseo,
desarrollo,
comprobacin,
implementacin).
Slo
los
evaluar el plan estratgico de TI, el auditor de SI necesitara primero familiarizarse con el plancontroles
de
compensatorios buenos podran monitorear /controlar estas actividades. Los controles compensadores
negocios.
asegurarn que estas funciones hayan sido realizadas efectivamente. An si un analista afectara
algunas funciones
en estosqueroles,
ello seseparacin
puede detectar
inmediatamente
con la ayuda
Mientras
que se preferira
la estricta
de funciones
se cumpliera
y que de
se controles
reclutara
En una organizacin pequea, un empleado realiza operaciones de computadora y, cuando compensadores. Sin embargo, se debe desalentar a un analista de sistemas para que no haga el rol de QA, ya
personal adicional, como se sugiere en la Opcin B, esta prctica no es siempre posible en las
la situacin lo exige, programa modificaciones.
que los niveles pequeas.
de garanta El
de auditor
calidad podran
ser afectados
sta no satisface
las recomendados.
normas acordadas.
organizaciones
de SI debe
buscar si
procesos
alternativos
De Los
las
Cul de lo siguiente debera recomendar el auditor de SI?
niveles
de
QA
nunca
deben
ser
opciones, C es la nica posible que tiene un impacto. El auditor de SI debera recomendar procesos que
Cul de los siguientes sera incluido en la poltica de seguridad de SI de una organizacin?
detecten los cambios a la fuente de produccin y al cdigo de objeto, como por ejemplo comparaciones de
La
poltica
de que
seguridad
provee puedan
la estructura
de la por
seguridad,
como peridicamente.
ha sido dispuestaEste
y aprobada
cdigo,
par
los cambios
ser amplia
revisados
un tercero
sera un
por
la alta
una definicin
de las
autorizadas
parade
otorgar
acceso
y labibliotecas
base para de
proceso
degerencia.
control Incluye
compensatorio.
La opcin
A,personas
que implica
el registro
cambios
en las
otorgarlo.
A, Blos
y Ccambios
estn ms
detalladas
quede
lo produccin.
que debera incluirse
desarrollo,Las
noopciones
detectaran
a las
bibliotecas
La opcinenDuna
estpoltica.
en efecto requiriendo
que un tercero haga los cambios, lo cual no puede ser prctico en una organizacin pequea.
Adems de ser una buena prctica, las leyes y regulaciones pueden requerir que una organizacin mantenga
informacin que tenga un impacto en los estados financieros. La prevalencia de demandas en las que la
comunicacin de correo electrnico es mantenida en el mismo sentido que el formulario oficial de
clsico "documento" hace de la retencin de correspondencia electrnica una necesidad. Todo el
correo electrnico generado en el hardware de una organizacin es propiedad de la organizacin y una
poltica de correo electrnico
debeelresolver
la retencin
mensajes,del
considerando
tanto
litigios
activamente
cumplimiento
de losde trminos
contrato para
loslosservicios
Una organizacin ha hecho un outsourcing de su desarrollo de software. Cul de los siguientes Administrar/Gestionar
conocidos
como
los
impredecibles.
La
poltica
debera
tambin
ocuparse
de
la
destruccin
de
correos
externalizados
(outsourced)
es
responsabilidad
de
la
gerencia
de
TI.
El
pago
de
facturas
es
una
es responsabilidad de la gerencia de TI de la organizacin?
electrnicos despus
de un La
tiempo
especificado
para proteger
la naturaleza
la confidencialidad
de
responsabilidad
de finanzas.
negociacin
del acuerdo
contractual
ya habra yocurrido
y por lo general
losuna
mensajes
mismos.
Considerar
el tema delegal
la yretencin
en la poltica
de por
correo
electrnico
es
responsabilidad
compartida
del departamento
de otros departamentos,
como
ejemplo
TI.
facilitara la recuperacin, reconstruccin y reutilizacin.
En una organizacin donde se ha definido una lnea base (baseline) de seguridad de TI el auditor de El auditor debe primero evaluar la definicin del nivel mnimo de lnea base para
SI debe PRIMERO asegurar:
asegurar la idoneidad de los controles. La documentacin, la implementacin y el cumplimiento
son otros pasos adicionales.
Una poltica exhaustiva y efectiva de correo electrnico debera resolver los problemas
de estructura de correo electrnico, ejecucin de polticas, monitoreo y:
La falta de una provisin de recuperacin de desastre presenta un riesgo importante de negocio.

Incorporar una disposicin de este tipo en el contrato proporcionar a la organizacin que realiza el
"outsourcing" una influencia sobre el proveedor de servicio. Las opciones B, C y D son
problemas que deben ser resueltos por el proveedor de servicio, pero no son tan importantes
como los requerimientos del contrato en cuanto a una recuperacin de desastre.
################################################################################ Mover los servidores puede ocasionar una interrupcin del negocio y debe posponerse hasta que la
recuperacin de desastre sea incluida en el contrato de outsourcing. Las opciones A, C y D deben
#############################
considerarse durante el desarrollo de las provisiones viables de recuperacin de desastre y despus que el
traslado de servidores sea pospuesto.
Las operaciones de TI para una gran organizacin han sido externalizadas

(outsourced). Un auditor de SI que revisa la operacin externalizada debe estar MS
preocupado por cul de los hallazgos siguientes?
De los siguientes, qu es lo MS importante cuando se evalan los servicios prestados por un

proveedor de servicios de Internet (ISP)?
Un contrato de nivel de servicio provee la base para una evaluacin adecuada del grado en el
que el proveedor est satisfaciendo el nivel de servicio acordado. Las opciones A, C y D no seran la
base para una evaluacin independiente del servicio.
La implementacin de controles de acceso requiere PRIMERO:
El primer paso para implementar un control de accesos es un inventario de los recursos de SI,
que es la base para la clasificacin. El etiquetado de los recursos no puede hacerse sin primero
determinar las clasificaciones de los recursos. La lista de control de accesos (ACL) no se hara sin
una clasificacin coherente de los recursos.
Un auditor de SI que realiza una revisin de los controles generales de las prcticas de
gerencia de SI relativas al personal debera prestar particular atencin a:
Cuando se realiza una revisin de los controles generales es importante que un auditor de SI preste atencin
al tema de la segregacin de funciones, que est afectada por prcticas de vacaciones /feriados. Las polticas y
el cumplimiento de vacaciones obligatorias puede variar dependiendo del pas y de la industria. Las
clasificaciones del personal y las polticas de compensaciones justas puede ser una problema
moral, no un problema de control. La formacin del personal es deseable, pero no tan crtico como
El auditor de SI debera buscar una verificacin independiente que el ISP pueda realizar las tareas
Un auditor de SI debera esperar que cul de los siguientes elementos sean incluidos una segregacin apropiada de funciones.
que estn siendo contratadas. Las referencias de otros clientes proveeran una revisin y
en la solicitud de propuesta (RFP) cuando SI est adquiriendo servicios de un proveedor de
verificacin independiente, externa, de procedimientos y procesos que sigue el ISP –
servicios independiente (ISP)?
aspectos que seran de preocupacin para el auditor de SI. Verificar las referencias es un medio de
obtener una verificacin independiente de que el vendedor puede efectuar los servicios que dice que
II
II
II
II
II
II
II
Cuando se revisan las estrategias de SI, el auditor de SI puede determinar MEJOR si la estrategia de SIDeterminar si el plan de SI es consistente con la estrategia de la gerencia relaciona la planificacin de SI/TI con
los planes del negocio. Las opciones A, C y D
soporta los objetivos de negocio de las organizaciones determinando si SI:
son mtodos efectivos para determinar si los planes de SI estn en armona con los objetivos del negocio y con
las estrategias de la organizacin.
Para asegurar que la organizacin est cumpliendo con los aspectos de privacidad, un auditor
Para asegurar que una organizacin est cumpliendo con los requerimientos de privacidad, el auditor
de SI debera tratar primero los requisitos legales y regulatorios. Para cumplir con los requisitos
de SI debera PRIMERO revisar:
legales y regulatorios, las organizaciones necesitan adoptar la infraestructura apropiada. Despus de entender
los requisitos legales y regulatorios, el auditor de SI debera evaluar las polticas, estndares y procedimientos
organizacionales y luego revisar el acatamiento de estas polticas, estndares y procedimientos especficos.
Una compaa est implementando un protocolo dinmico de configuracin de anfitrin Dado el acceso fsico a un puerto, cualquiera puede conectarse a la red interna. Las otras opciones no
(Dynamic Host Configuration Protocol-DHCP). Dado que existen las siguientes condiciones, culpresentan la exposicin que presenta el acceso a un puerto. DHCP provee conveniencia (una ventaja)
para los usuarios de laptop. Compartir las direcciones de IP y la existencia de un firewall
representa la MAYOR preocupacin?
pueden ser medidas de seguridad.
En un gateway WAP, los mensajes encriptados/cifrados provenientes de los clientes deben ser
#################################################################################
desencriptados/descifrados para transmitir a la Internet y viceversa. Por lo tanto, si el gateway es
############################
afectado, todos los mensajes estaran expuestos. SSL protege los mensajes de sniffing en la Internet,
limitando la revelacin de la informacin del cliente. WTLS provee autenticacin, privacidad e
integridad
e impidede que
los una
mensajes
afectados
por escuchasparalelo es el esquema de divisin
Una parte esencial
disear
base desean
datos
para procesamiento
Para maximizar el desempeo (performance) de una base de datos grande en un ambiente paralelo (eavesdropping).
(partitioning). Como las grandes bases de datos estn indexadas, los indices independientes deben tambin
de procesamiento, cul de los siguientes se usa para separar los ndices?
estar divididos para maximizar el desempeo/performancia. Hashing es un mtodo usado para dividir
ndices. ste asocia los datos con los discos, basado en una clave hash. La divisin/particin de
discos crea unidades lgicas en el nico disco para administrar mejor el contenido. El mirroring de
La integridad de referencia asegura que una llave/clave extraa en una tabla sea igual a cero o al valor de una
disco usa dos discos idnticos. Todas las operaciones en los dos discos se realizan de modo que cada disco
Cul de los siguientes impedir tuplas colgantes (dangling tuples) en una base de datos?
primaria en la otra tabla. Por cada tupla en una tabla que tenga una clave referenciada /extraa, debe haber una
sea una imagen espejo de la otra. Esto provee redundancia en caso de falla de uno de los discos. La
tupla correspondiente en otra tabla, es decir, por la existencia de todas las claves extraas en las tablas
duplexacin de disco (disk duplexing) hace uso de ms de un disco con dos controladores separados,
originales. Si esta condicin no fuera satisfecha, entonces el resultado sera una tupla suspendida. La
proveyendo redundancia en caso de falla de un disco o de falla de una tarjeta de controlador.
verificacin cclica es la tcnica de control para la verificacin regular de datos acumulados en un archivo
Los switches estn en el nivel ms bajo de seguridad de red y transmiten un paquete al
contra documentacin fuente autorizada. No hay pruebas de integridad cclica. La prueba de integridad de
Cul de los siguientes reduce MEJOR la capacidad de un dispositivo de capturar los paquetes que
dispositivo al que est dirigido. Esto reduce la capacidad de un dispositivo de capturar los paquetes
estn destinados a otro dispositivo?
dominio asegura que un elemento de dato tenga un valor legtimo en el rango o conjunto correcto. La integridad
que estn destinados a otro dispositivo. Los filtros permiten cierto aislamiento bsico de trfico de
de relacin se realiza a nivel de registro y es asegurada calculando y verificando campos especficos.
red basado en las direcciones de destino. Los routers permiten que a los paquetes se les permita o se les
niegue acceso basado en las direcciones del remitente y del destinatario y en el tipo de paquete. Los firewalls
Los controles de concurrencia impiden problemas de integridad de datos, que pueden surgir
son conjuntos de equipos de computacin y de red usados para permitir que las comunicaciones fluyan hacia
El objetivo de control de concurrencia en un sistema de base de datos es:
cuando dos procesos de actualizacin acceden al mismo elemento de dato al mismo tiempo. Los
afuera de la organizacin y para restringir las comunicaciones que fluyen hacia adentro de la organizacin.
controles de acceso restringen la actualizacin de la base de datos a los usuarios autorizados; y a los
controles, por ejemplo, las contraseas impiden la revelacin inadvertida o no autorizada de datos
de la base de datos. Los controles de calidad, tales como ediciones, aseguran la exactitud, la
Un sistema de directorio describe la ubicacin de los datos y el mtodo de acceso. Un diccionario de datos
En un sistema de administracin de base de datos (DBMS) la ubicacin de los datos y el mtodo de
integridad y la consistencia de los datos mantenidos en la base de datos.
contiene un ndice y la descripcin de todos los elementos almacenados en la base de datos. Los
tener acceso a los datos es provista por:
metadatos ('datos sobre datos') son los elementos de datos requeridos para definir un almacn de
datos a nivel de toda la empresa. El procesador de lenguaje de definicin de datos permite al administrador de
base de datos (DBA) crear/modificar una definicin de datos para mapear entre los esquemas externos y los
II
II
II
II
II
Los dispositivos de monitoreo de red pueden usarse para inspeccionar actividades de usuarios conocidos o
desconocidos y pueden identificar direcciones de clientes, que pueden asistir en encontrar evidencia de
acceso no autorizado. Esto sirve como un control de deteccin. Las estaciones de trabajo sin disco
impiden que el software de control de acceso sea evadido. Las tcnicas de encripcin/cifra de datos
pueden ayudar a proteger datos sensitivos o privados contra acceso no autorizado, sirviendo de ese modo
La principal funcin de QoS es optimizar el desempeo/performancia de la red asignando prioridad a las
como un control preventivo. Los sistemas de autenticacin pueden proveer en todo el ambiente/entorno,
Un beneficio de Calidad de Servicio (QoS) es que:
aplicaciones del negocio y a los usuarios finales a travs de la asignacin de partes dedicadas del ancho
facilidades/instalaciones lgicas que pueden diferenciar entre los usuarios, antes de proveer acceso a los sistemas.
de banda a trfico especfico. La opcin A no es cierta porque la comunicacin misma no mejorar, sino
que la velocidad de intercambio de datos podra ser ms alta. La disponibilidad no
mejorar. Las herramientas de QoS que muchas portadoras/compaas telefnicas estn usando
La principal preocupacin es encontrar el balance entre seguridad y desempeo/performancia. Registrar
no proven reportes de niveles de servicio; sin embargo, hay otras herramientas que generarn
Cuando se revisan los parmetros del sistema, la PRINCIPAL preocupacin de un auditor de SI,
los cambios en una pista de auditora y revisarla peridicamente es un control de deteccin; sin
reportes de niveles de servicio. Incluso cuando QoS es integrada con firewalls, VPNs,
debera ser que:
embargo, si no se establecen los parmetros conforme a reglas del negocio, es posible que el monitoreo
herramientas de encripcin y otras, la herramienta en s misma no pretende proveer controles de
de cambios no sea un control efectivo. Revisar los cambios para asegurar que estn respaldados
seguridad.
por documentos apropiados, es tambin un control de deteccin. Si los parmetros estn fijados de
Tener
a la la
base
de datos podra
proveer
a las
de autorizados
la base de no
datos,
lo cual
puede
maneraacceso
incorrecta,
documentacin
relacionada
y elacceso
hecho de
queutileras
stos estn
reduce
el impacto.
El MAYOR riesgo cuando los usuarios finales tienen acceso a una base de datos al nivel de su
actualizar
la
base
de
datos
sin
una
pista
de
auditora
y
sin
usar
la
aplicacin.
El
utilizar
SQL,
slo
provee
acceso
La restriccin del acceso a los parmetros asegura que solamente el personal autorizado pueda tener acceso a
sistema, en lugar de a travs de la aplicacin, es que los usuarios pueden:
a lectura
de la informacin
El primitivoestn
SQLestablecidos
era solamente
lenguaje
de consulta
, ahora- del
aunque
ha
los
parmetros;
sin embargo,[Nota:
si los parmetros
de un
manera
incorrecta,
la restriccin
acceso
conservado
el
nombre
(query)-permite
modificar
la
base
de
datos
(DELETE,
INSERT,
UPDATE).
La
opcin
B
tendr an el impacto adverso.
atae a esa prima versin de SQL]. En un ambiente/entorno en red, tener acceso remoto a una base de datos no
hace
funcin
una diferencia.
de resecuenciacin
Lo que es crtico
de loses,paquetes
qu es posible
(segmentos)
o qu se
recibidos
hace a travs
en desorden
de este acceso.
es realizada
Para tener
por acceso
la capaa
################################################################################# La
############################
una transporte.
de
base de datos,
Nies
lanecesario
red, ni las
que
capas
un usuario
de sesin
est oautenticado
aplicacin mediante
se encargan
unadeidentificacin
la resecuenciacin.
de usuario.
En un sistema cliente-servidor, cul de las siguientes tcnicas de control se usa para
inspeccionar la actividad de los usuarios conocidos o desconocidos?
II
Verificar si hay lneas base (baselines) de software autorizado es una actividad realizada dentro de
cul de las siguientes?
II
Para determinar qu usuarios pueden tener acceso al estado de supervisin privilegiado, cul de los
siguientes debe revisar un auditor de SI?
II
II
La administracin de la configuracin da cuenta de todos los componentes de TI, incluyendo

software. La administracin de proyectos se encarga del cronograma, administracin de recursos y
rastreo del progreso del desarrollo del software. Las administracin de problemas registra y
monitorea los incidentes. La administracin de riesgos implica identificacin de riesgos, anlisis de impacto, un
plan de accin, etc.
La revisin de los archivos de configuracin del sistema para las opciones de control usadas
mostraran cules usuarios tienen acceso al estado de supervisin privilegiado. Tanto los archivos
de registro de acceso a sistemas como los registros de violaciones de acceso son detectivos por
naturaleza. El software de control de acceso es corrido bajo el sistema operativo.

opciones B, C y D son ejemplos de funciones de sistemas operativos de red entre las cuales estn incluidas
La
creando el
alguna
forma
duplicacin
en los componentes
de red, como
por ejemplo
un enlace,
las redundancia,
siguientes: soportar
acceso
de de
terminales
a anfitriones
(hosts) remotos,
manejar
la transferencia
de
Cul de los siguientes es un control sobre las fallas/errores de comunicacin de componentes?
un
ruteador
un(hosts),
switchy para
prevenir prdidas,
demoras
o duplicacin de datos, es un
archivos
entre(router),
anfitriones
comunicaciones
entre usuarios.
control sobre la falla o error de comunicacin del componente. Otros controles relacionados
son verificaciones de loop /eco para detectar errores de lnea, verificaciones de paridad, cdigos
II
II
II
II
II
II
II
II
II
Un cable instalado de Ethernet corrido en una red de pares retorcidos no protegidos (UTP) tiene ms La atenuacin es el debilitamiento de las seales durante la transmisin. Cuando la seal se torna dbil,
comienza a leer un 1 por un 0, y el usuario puede experimentar problemas de comunicacin. UTP
de 100 metros de longitud. Cul de los siguientes podra ser causado por la longitud del cable?
enfrenta atenuacin alrededor de los 100 metros. La interferencia electromagntica (EMI) es causada
por ondas electromagnticas externas que afectan las seales deseadas, lo cual no es el caso aqu. La
interferencia telefnica no tiene ninguna relacin con la longitud del cable de UTP.
El direccionamiento diverso es el mtodo de direccionamiento del trfico a travs de instalaciones de cable
El mtodo de direccionamiento del trfico a travs de instalaciones de cable partido
partido o de instalaciones de cable duplicado, que puede
lograrse
con
cubiertas
de
cables
(split cable) o instalaciones de cable duplicado se denomina:
diferentes/duplicadas. El direccionamiento alternativo es el mtodo de direccionamiento de la
informacin por un medio alternativo como cable de cobre o fibra ptica. La redundancia
implica proveer capacidad adicional, con una opcin para usar dicha capacidad adicional en el caso
La latencia, que se mide usando un comando "Ping", representa la demora que tendr un
Un comando "Ping" se usa para medir:
de que la capacidad de transmisin primaria no est disponible. El direccionamiento circular es la va lgica de
mensaje /paquete para viajar desde el origen hasta el destino. Una disminucin en la amplitud a medida que
un mensaje en una red de comunicacin basada en una serie de puertas en la capa fsica de red en la
una seal se propaga a travs de un medio de transmisin se denomina atenuacin. El rendimiento, que
interconexin de sistema abierto.
es la cantidad de trabajo por unidad de tiempo, se mide en bytes por segundo. La distorsin por demora
representa la demora en la transmisin porque la velocidad de propagacin de una seal a lo largo de una lnea
El mirroring de elementos crticos es una herramienta que facilita la recuperacin inmediata. La copia
Cul de los siguientes soportara MEJOR la disponibilidad 24/7?
de transmisin vara con la frecuencia.
de respaldo diaria implica que es razonable que el restablecimiento ocurra dentro de un nmero
de horas pero no inmediatamente. El almacenamiento fuera del sitio y la prueba peridica de
sistemas no soportan por s mismas la disponibilidad continua.
Las bitcoras de sistema son reportes automatizados que identifican la mayora de las actividades realizadas en
El anlisis de cul de los siguientes es MS probable que habilite al auditor de SI para determinar si
la computadora. Se han desarrollado muchos programas que analizan la bitcora de sistema para
un programa no aprobado intent tener acceso a datos sensitivos?
reportar sobre puntos definidos especficamente. Los reportes de terminacin anormal identifican los
trabajos de aplicacin que fueron terminados antes de su terminacin exitosa. Los reportes de
problema de operador son usados por los operadores para registrar problemas de operaciones de
El uso de un lenguaje de consultas estructuradas (SQL) es un elemento clave para la
Cuando se analiza la portabilidad de una aplicacin de base de datos, el auditor de SI debe verificar computadora y sus soluciones. Los horarios de trabajo de operador son mantenidos por la gerencia de SI
portabilidad de la base de datos. La importacin y exportacin de informacin con otros sistemas es
que:
para asistir en la planeacin de los recursos humanos.
un objetivo de revisin de interfaces de base de datos. El uso de un ndice es un objetivo de una revisin de
acceso a base de datos, y el hecho de que todas las entidades tengan un nombre significativo y llaves primaria
y extranjera identificadas es un objetivo de una revisin de diseo de base de datos.
El principio de atomicidad requiere que una transaccin sea completada en su totalidad o no lo sea en absoluto. Si
En un sistema de procesamiento de transacciones en lnea, la integridad de datos es
ocurriera un error o interrupcin, todos los cambios efectuados hasta ese punto son retirados. La consistencia
mantenida asegurando que una transaccin sea o bien concluida en su totalidad o no lo sea en
asegura que todas las condiciones de integridad en la base de datos sean mantenidas con cada transaccin.
absoluto. Este principio de integridad de datos se conoce como:
El aislamiento asegura que cada transaccin sea aislada de otras transacciones , y de ah que, cada transaccin
slo tenga acceso a los datos que forman parte de un estado consistente de base de datos. La durabilidad
negativo falso sobre las debilidades significa que las debilidades de control en la red no
Despus de instalar una red, una organizacin instal una herramienta de estudio de laReporte
asegura que cuando una transaccin ha sido reportada de regreso a un usuario como completa, los
estn
identificadas
y de ah que no puedan ser resueltas, dejando la red vulnerable a ataques.
vulnerabilidad o escaneador de seguridad para identificar posibles debilidades. Cul es el
cambios resultantes a la base de datos sobrevivirn las fallas posteriores de hardware o software.
Positivo falso es una en la que los controles estn establecidos, pero estn evaluados como
riesgo MS serio asociado con dichas herramientas?
dbiles, lo cual debe demandar una nueva verificacin de los controles. Reporte con menos
detalles y funciones de reporteo diferencial provistos por estas herramientas, comparan los resultados
Usar conductos separados para cables de datos y cables elctricos, minimiza el riesgo de corrupcin de datos
En un entorno de LAN, Cul de los siguientes minimiza el riesgo de corrupcin de datos durante la del escaneo durante un perodo de tiempo.
debido a un campo magntico inducido creado por medio de corriente elctrica. La encripcin de datos
transmisin?
minimiza el riesgo de fuga de datos en caso de intercepcin de lneas telefnicas, sin embargo, no puede
prevenir la corrupcin. Una suma de verificacin ayudar a detectar la corrupcin de datos durante la
comunicacin, pero no lo prevendr. Usar una topologa en estrella, aumentar la velocidad de
II
Cul de los siguientes considerara un auditor de SI que es MS til cuando se

evala la efectividad y adecuacin de un programa de mantenimiento preventivo de
computadora?
Un registro de tiempo improductivo del sistema provee informacin sobre la efectividad y adecuacin
de los programas de mantenimiento preventivo de computadora.
II
Cul de los siguientes es el medio MS efectivo de determinar qu controles estn funcionando

correctamente en un sistema operativo?
Los parmetros de generacin del sistema determinan cmo funciona un sistema, la configuracin fsica y su
interaccin con la carga de trabajo.
II
El control de congestin se maneja MEJOR por cul capa de OSI?
II
Los programas de utilera que renen mdulos de software que se necesitan para
ejecutar una versin de programa de aplicacin de instrucciones de mquina son:
II
El software de monitoreo de capacidad se usa para asegurar:
II
Una limitacin de integridad de referencia est constituida por:
II
Cul de las siguientes exposiciones asociadas con el spooling de reportes sensitivos para impresin A menos que est controlado, el spooling para impresin fuera de lnea permite que se impriman
fuera de lnea considerara un auditor de
copias adicionales. Es improbable que los archivos de impresin estn disponibles para ser ledos en
SI que es el MS serio?
lnea por los operadores. Los datos en archivos de spool no son ms fciles de enmendar sin
autoridad que cualquier otro archivo. Por lo general hay una amenaza menor de acceso no autorizado a los
reportes sensitivos sen caso de una falla de sistema.
La compra de software de sistema operativo depende del hecho de que el software sea compatible con el
Cul de los siguientes es crtico para la seleccin y adquisicin del software de sistema operativo
correcto?
hardware existente. Las opciones A y D, a pesar de ser importantes, no son tan importantes como la opcin C.
Los usuarios no aprueban normalmente la adquisicin de software de sistema operativo.
II
II
Cul de los siguientes medios de lnea proveera la MEJOR seguridad para una red de
telecomunicacin?
La capa de transporte es responsable de la entrega de datos confiables. Esta capa implementa un

mecanismo de control de flujos que puede detectar congestin, reducir las velocidades de
transmisin de datos y aumentar las velocidades de transmisin cuando la red parece que ya no est
congestionada
(e.g., controles de flujo de TCP). La capa de red no es correcta porque el control de congestin ocurre basado en
implementaciones
ruteador
de control
de flujo
al nivelquedese necesitan
la red subordinada.
(i.e.,
mensajes
Los programas de de
utilera
que renen
mdulos
de software
para ejecutar una
versin
de de
extincin de
enviados
cuandode la
memoria
deleditores
ruteadorde enlace
o del ybuffer
llega a la capacidad), sin
programa
de fuente
aplicacin
de instruccin
mquina
son los
los cargadores.
embargo, no existe ningn mensaje para cancelar o descartar mensajes, lo que actualmente puede aumentar los
problemas de congestin. La capa de sesin y enlace de datos no tienen ninguna funcionalidad para la gerencia de
red.
El software de monitoreo de capacidad muestra, por lo general en forma de luces o de grficas
rojas, mbar y verdes, el uso real de los sistemas en lnea frente a su capacidad mxima. El objetivo es
permitir al personal de soporte de software que tome medidas si el uso comenzara a sobrepasar el porcentaje
de la capacidad disponible para asegurar que se mantenga la operacin eficiente, en trminos de tiempos de
respuesta. Nunca se debe permitir que los sistemas operen al mximo de su capacidad. El software de monitoreo
est
destinado a de
impedir
esto.referencial
Aunque aseguran
el software
puede enser
para dar de
soporte
a un
Las limitaciones
integridad
quebien
un cambio
unausado
clave primaria
una tabla
sea caso de
negocios para
futuras adquisiciones
en trminos
de de
requerimientos
capacidad,
no provee
actualizada
automticamente
en una llave extranjera
coincidente
otras tablas. Estodese hace
usando disparadores.
informacin sobre el efecto de las exigencias de funcionalidad de los usuarios y no asegura el uso
concurrente del sistema por parte de los usuarios, mas que para resaltar los niveles de acceso de usuarios.
Las lneas dedicadas son apartadas para un usuario en particular o para una organizacin. Como no se
comparten lneas o puntos intermedios de entrada, el riesgo de intercepcin o interrupcin de los mensajes de
telecomunicacin es ms bajo.
II
II
II
II
II
II
II
Un Firewall filtrado de red subordinada proveera la mejor proteccin. El router de filtrado puede
ser un router comercial o un nodo con capacidades de direccionamiento que puede filtrar paquetes,
con la capacidad para permitir o evitar el trfico entre redes o entre nodos basndose en direcciones,
puertos, protocolos, interfaces, etc. Las gateways de nivel de aplicacin son intermediarias entre dos
entidades que quieren comunicarse, conocidas tambin como gateways apoderadas o proxy. El nivel
es la mejor
respuesta.
Implementado
contratos
de aplicacin
(proxy,
trmino
en ingls) debidamente
funciona al (por
nivel ejemplo,
de aplicacin
no con
slo normas
al nivel para
de
################################################################################ EDI
transacciones
entre
los
socios
comerciales,
controles
sobre
los
mecanismos
de
seguridad
de
la
red
en
conjunto
paquete. El filtrado controla solamente en el nivel de paquete, direcciones, puertos, etc., pero no
#############################
con
los contenido
controles dedel
aplicacin)
adeca
para de
identificar
y dar
seguimiento
a los errores
ms
ve el
paquete. EDI
El se
router
de mejor
filtrado
paquetes
examina
el encabezado
de todo
rpidamente
dadas
las
reducidas
oportunidades
de
revisin
y
de
autorizacin.
paquete o dato que viaje entre la internet y la red corporativa.
Cul de los siguientes tipos de firewall protegera MEJOR una red contra un ataque de Internet?
La administracin de configuraciones es ampliamente aceptada como uno de los componentes clave de

Cul de los siguientes componentes es ampliamente aceptado como uno de los componentes crticos
cualquier red dado que establece cmo funcionar la red tanto interna como externamente. Tambin se
en la administracin de redes?
ocupa de la administracin de la configuracin y del monitoreo del desempeo. Los mapeos topolgicos
proveen una descripcin de los componentes de la red y su conectividad. Esto es crtico para
administrar y monitorear la red. No es esencial que se usen herramientas de monitoreo. La resolucin de
Una
fecha del
de retencin
asegurar
que
unresolver
archivo problemas.
no pueda ser sobrescrito antes de que esa fecha haya pasado.
Aplicar una fecha de retencin en un archivo asegurar que:
problemas
servidor proxy
se usa
para
La fecha de retencin no afectar la capacidad de leer el archivo. Las copias de respaldo se esperara que tengan
una fecha de retencin diferente y por lo tanto puedan bien ser retenidas despus de que el archivo haya sido
sobrescrito. La fecha de creacin, no la fecha de retencin, diferenciar los archivos que tengan el mismo
nombre.
Las redes neurales se pueden usar para atacar problemas que requieren consideracin de numerosas variables de
Las redes neurales son efectivas para detectar el fraude porque pueden:
input. Ellas son capaces de captar relaciones y patrones que a menudo se les escapa a otros
mtodos estadsticos. Las redes neurales no descubrirn nuevas tendencias. Ellas son inherentemente
no lineales y no hacen supuestos sobre la forma de ninguna curva que relacione a las variables
con el output. Las redes neurales no funcionarn bien para resolver problemas para los que no se
Un gateway realiza el trabajo de traducir formatos de correo electrnico de una red a otra para que los mensajes
Cul de los siguientes traduce formatos de correo electrnico desde una red a otra para pueden obtener conjuntos grandes y generales de datos de entrenamiento.
puedan seguir su camino a travs de todas las redes. Un convertidor de protocolo es un dispositivo de hardware
que el mensaje pueda viajar a travs de todas las redes?
que convierte entre dos tipos diferentes de transmisiones, como por ejemplo transmisiones asncronas y
sncronas. Un procesador de inicio de comunicacin conecta todas las lneas de comunicacin de red a una
computadora central para aliviar a la computadora central de realizar tareas de control de red, conversin de
> Suponiendo que este diagrama representa una instalacin interna y la organizacin est
El
objetivo
de un firewall
es proteger
una red confiable
contra una
confiable; usado
por lo para
tanto,combinar
las ubicaciones
formato
y manejo
de mensajes.
Un concentrador/
multiplexor
esred
un nodispositivo
varios
implementando un programa de proteccin de firewall, Dnde deberan instalarse los
que
necesitan
de firewall
estaranms
en la
existencia de las conexiones externas. Todas las otras
canales
de bajaimplementaciones
velocidad en un canal
de velocidad
alta.
firewalls?
respuestas son incompletes o representan conexiones internas.
Los hubs abiertos representan una debilidad significativa de control a causa del potencial de fcil acceso a una
conexin de red. Un hub inteligente permitira la desactivacin de un solo Puerto mientras deja activos los
puertos restantes. Adicionalmente, la seguridad fsica tambin proveera una proteccin razonable sobre los
hubs con puertos activos.
II
> Para las ubicaciones 3a, 1d y 3d, el diagrama indica hubs con lneas que parecen estar
abiertas y activas. Suponiendo que es verdad,
qu controles, si hubiera, se recomendara para mitigar esta debilidad?
II
> En el rea 2c del diagrama, hay tres hubs conectados entre s. Qu riesgo potencial podra esto Los hubs son dispositivos internos que generalmente no tienen conectividad externa directa y por ello no estn
propensos a hackers. No se conocen virus que sean especficos para los ataques de hubs. Mientras que
indicar?
esta situacin puede ser un indicador de controles deficientes de la gerencia, La opcin B es ms
probable cuando se sigue la prctica de amontonar hubs y crear ms conexiones de terminales.
II
II
II
II
II
II
II
El disco duro debe ser desmagnetizado ya que esto causar que todos los bits sean puestos a cero eliminando
Cuando una PC que ha sido utilizada para el almacenamiento de datos confidenciales es vendida en el
as cualquier posibilidad de que la informacin que haya estado almacenada anteriormente en el disco, sea
mercado abierto:
recuperada. Un formato de nivel medio no borra informacin del disco duro, slo restablece los
sealadores de directorio. La eliminacin de datos del disco elimina el sealador del archivo,
pero en realidad deja los datos en el lugar as que con herramientas apropiadas, se puede recuperar
la puerto
informacin.
La defragmentacin
delinstalar
disco una
no tarjeta
causaseparada
que la de
informacin
borrada,
Un puerto serial universal (USB):
El
USB conecta
la red sin tener que
interfaz de redsea
dentro
de una sino que
computadora
usando
unalrededor
adaptador
USB
de Ethernet.
simplemente la
mueva
para
hacer
ms eficiente el acceso a ella.
Una red virtual privada (VPN, siglas de los trminos en ingls) permite que los socios externos participen con
Cmo puede una empresa proveer acceso a su Intranet (i.e., extranet) a travs de la Internet a sus
seguridad en la extranet usando redes pblicas como un transporte o redes privadas compartidas.
socios comerciales?
Debido a su bajo costo, usar .las redes pblicas (Internet)como transporte es el mtodo principal.
Los VPNs se basan en tcnicas de tunelizacin/encapsulacin, que permiten que el protocolo de
Internet (IP) lleve una variedad de protocolos diferentes (por ejemplo, SNA, IPX, NETBEUI). Un
La
preocupacin
cuando
implementan
de (i.e.,
sistemas
clientemayor
/servidor
(opcin B) no
trata dese extender
la red a firewalls
los sociosencima
comerciales
clienteoperativos
/servidor
################################################################################
comerciales
es
la presencia
potencial dedentro
vulnerabilidades
que podran
socavar la
postura
de
seguridad
se
refiere
a
un
grupo
de
computadoras
de
una
organizacin
conectado
por
medio
de
una red
#############################
de
la
plataforma
misma
de
firewall.
En
la
mayora
de
las
circunstancias,
cuando
se
violan
los
firewalls
de comunicaciones donde el cliente es la mquina de solicitudes y el servidor es la mquina proveedora).
comerciales,
violacin
es facilitada
en el asegurado.
sistema operativo
subyacente.
La opcin Cesa
se refiere
a usuarios
remotosporquevulnerabilidades
acceden a un entorno
Es el medio,
no el
Mantener
disponibles
todas
las
opciones
de
instalacin
en
el
sistema
aumenta
ms
los
riesgos
mtodo de proveer acceso a una red. Un proveedor de servicio de red (opcin D) puede proveer serviciosdea
Un
hub es un dispositivo
que conectaUsar
dos segmentos
unadministracin
solo LAN, Un de
hubfirewall
es una repetidora,
provee
vulnerabilidades
y explotaciones.
paradede
laInternet,
A)
es
Un hub es un dispositivo que conecta:
una red privada compartida
para proveer SSL
servicios
pero no extendidos
a la(Opcin
Intranet de
una
conectividad
transparente
a
los
usuarios
en
todos
los
segmentos
del
mismo
LAN.
Es
un
dispositivo
de
nivel
1.
importante,
los
cambios
en
las
funciones
y
perfiles
de
los
socios
de
la
cadena
de
usuario
y
de
organizacin.
Un
puente opera
en el nivel y2 es
de apropiado
la capa OSImantener
y se usa
conectar
dos LANs
usando protocolos
suministro
sern dinmicos
laspara
polticas
de firewall
diariamente
diferentes
(por
ejemplo,
uniendo
una
red
de
ethernet
con
una
red
de
token)
para
formar
una (Opcin
red lgica.
(Opcin B), y es una poltica prudente bloquear todo el trfico entrante a menos que sea permitido
C).Un
gateway, que es un dispositivo de nivel 7, se usa para conectar un LAN con un WAN. Un LAN se conecta con
de usando
lenguaje
de pregunta
(SQL)
facilita
la portabilidad.
La verificacin de procedimientos de
Cul de los siguientes ayudara a asegurar la portabilidad de una aplicacin conectada a una base de El
un uso
MAN
unestructurado
ruteador (router),
que opera
en la
capa de
red.
importacin y exportacin con otros sistemas asegura mejor interfaz con otros sistemas, analizar los
datos?
procedimientos/triggers almacenados asegura el acceso/desempeo apropiado, y revisar el diseo, el
modelo entidad-relacin, todos sern de ayuda pero no contribuyen a la portabilidad de una aplicacin que
conecta a una base de datos.
Cul de los siguientes dispositivos de hardware libera a la computadora central de realizar tareas Un Procesador de inicio de comunicacin (Front-end) es un dispositivo de hardware que conecta todas las lneas
de control de red, conversin de formato y manejo de mensajes?
de comunicacin a una computadora central para liberar a la computadora central.
II
Cul de los siguientes se puede usar para verificar los resultados del output y los totales de control
hacindolos coincidir contra los totales de datos de input y de control?
II
Cul de los siguientes esperara encontrar un auditor de SI en un registro de consola?
El balanceo de lote se usa para verificar los resultados de output y los totales de control
hacindolos coincidir contra los datos de input y los totales de control. Los formularios de
encabezado de lote controlan la preparacin de datos; las correcciones de error de conversin de datos
corrigen los errores que ocurren debido a duplicacin de transacciones e ingreso de datos
incorrectos; y los controles de acceso sobre los pools de impresin previenen que los reportes
Los
de accidentalmente
sistema son los nicos
unodeesperara
encontrar
en el
registroade
consola.
seanerrores
borrados
de los que
spools
impresin
o que sean
dirigidos
una
impresora diferente.
II
II
II
II
II
II
II
II
II
Una red neural monitorear y conocer patrones, reportando las excepciones para investigacin. El software de
administracin de base de datos es un mtodo de almacenar y recuperar datos. La administracin de
sistemas de informacin provee estadsticas de gerencia pero normalmente no tiene una funcin de
monitoreo y deteccin. Las tcnicas de auditora asistidas por computadora detectan situaciones
especficas, pero no estn destinadas a conocer patrones y detectar anormalidades.
################################################################################# Para que la microcomputadora del auditor de SI se comunique con la mainframe, el auditor de SI debe
############################
usar un convertidor de protocolo para convertir la transmisin asncrona y la sncrona. Adicionalmente, el
mensaje debe ser enviado al buffer para compensar las velocidades diferentes de flujo de datos.
Cul de las siguientes metodologas basadas en sistema empleara una compaa de

procesamiento financiero para monitorear los patrones de gasto para identificar patrones
anormales y reportarlos?
Middleware, una clase de software empleado por las aplicaciones cliente-servidor, provee
servicios, como por ejemplo, identificacin, autenticacin, directorios y seguridad. Facilita las conexiones
cliente-servidor a travs de la red y permite que las aplicaciones de cliente tengan acceso y actualicen bases de
datos remotas y archivos de mainframe. Firmware est constituido por chips de memoria con
cdigo
de programa
integrado, que
su contenido
cuando laenenerga
es puede
desconectada.
La verificacin
de redundancia
cclicamantiene
(CRC, siglas
de los trminos
ingls)
verificarX.25
un
interfaz
es
la
interfaz
entre
el
equipo
de
terminal
de
datos
y
el
equipo
de
terminacin
de
circuito
de
datos
Cul de los siguientes controles detectar en forma MS efectiva la presencia de surgimientos de
bloque de datos transmitidos. Las estaciones de trabajo generan la CRC y la transmiten con los datos al
errores en las transmisiones de red?
para
lastiempo.
terminales
que operan
en que
el recibe
modo computa
del paquete
eny algunas
redes
pblicas
datos. del
La
mismo
La estacin
de trabajo
una CRC
la compara
con la
estacinde
de trabajo
utilera
software
de sistema
se usaquepara
realizar
mantenimiento
deEn
sistema
y rutinas
quepor
se
remitente.esSiun
ambas
son iguales
entoncesque
se asume
el bloque
est
libre de error.
este caso
(como
requieren
durante
el
procesamiento
normal,
como
por
ejemplo
seleccin
(sorting)
o
copias
de
respaldo.
ejemplo un error de paridad o verificacin de eco) se pueden detectar mltiples errores. Hay varios estndares,
El gateway de aplicacin es similar a un gateway de circuito, pero tiene proxies especficos para cada servicio.
CRC-16, CRC-32, CRC-CCITT, etc. En general, CRC puede detectar todos los errores de un solo bit y de
Cul de los siguientes tipos de firewalls provee el MAYOR grado y granularidad de control?
Para poder manejar los servicios web tiene un proxy de http, que acta como un intermediario entre
bit de burbuja (bubble-bit), detectar errores en los casos en que los nmeros impares de bits
externos e internos, pero especficamente para http. Esto significa que no slo verifica el paquete de
son errneos, detectar todos los estallidos de errores de 16 bits o menos (32 bits o menos en el caso de
direcciones de IP (capa 3) y los puertos a los que est dirigido (en este caso el puerto 80, la capa 4), tambin
CRC-32) y detectar ms de 99.999 por ciento de todos los estallidos generados de ms de 16 bits
verifica cada comando de http (CAPA 5 Y 7). Por lo tanto, funciona en una forma ms detallada que los
(32
de CRC-32).
La verificaciny de
paridad
tambin
(conocida
como overificacin
vertical
de redundancia)
La bits
informacin
de interruptores
rutas
de capas
de red
(encabezador
header de capa
de red).
Los servicios
otros (granularidad). El ruteador de filtrado y el filtro de paquetes (opciones A y B) bsicamente funcionan
Cul de las capas del modelo ISO/ OSI provee servicio para cmo enrutar los paquetes entre los
implicadeagregar
conocido
de paridad
a cadadecarcter
durante laesta
transmisin.
En este
caso,
enlace un
de bit
datos
nodo a como
nodo elsebit
extienden
a travs
la red mediante
capa. La capa
de red
provee
al nivel de protocolo, servicio y/o de puerto. Esto significa que ellos analizan los paquetes
nodos?
donde
hay una
presencia
de surgimiento
errores, (unidades
(i.e., impulsando
ruido durante
altas
velocidad
tambin
servicio
para cmo
enrutar losdepaquetes
de informacin
en la
capa
de red) entre los nodos
provenientes de las capas 3 y 4 (no de niveles superiores). Ya no se usa un gateway de
conectados a travs de una red arbitraria. La capa de enlace de datos transmite informacin como grupos de bits
circuito (opcin D), y est basado en un proxy o programa que acta como un intermediario
(unidades lgicas llamadas marco) a los sistemas de computadora adyacentes (nodo a nodo). Los bits de un
entre
los acceso
externos
y los
Esto
significa
durante un acceso
externo,
en lugar
de abrir
Una
direccin
de IP
especifica
unainternos.
conexin
de red.
Comoque,
una
codifica
una
red como
un
marco
estn divididos
en un campo
de direccin
(direccin
dedireccin
hardware dedeIPcontrol
de tanto
acceso
a medios
MAC
En una red basada en TCP/IP, una direccin de IP especifica:
una
sola
conexin
al
servidor
interno,
se
establecen
dos
conexiones.
Una
proveniente
del
externo
al
proxy
(que
anfitrin
enbits),
esa red,
no especifican
una
computadora
sino una
a una red.
Un
de 48
campoellos
de control,
campo de
datos
y campo de individual,
control de errores.
La conexin
capa de transporte
provee
conforma
el gateway
de dos
circuito)
yy una
desde
eldirecciones
proxy al interno.
Las
capas
3una
y direccin
4 (IP y TCP)
y algunas
router
/gateway
conecta
redes
tendr
dos
de
IP.
De
ah
que,
de
IP
no
pueda
integridad de datos de extremo a extremo. Para asegurar una entrega confiable, la capa de transporte se basa en
caracterstica
especificar
un router.
Una provistos
computadora
en capas
la red
puede ser
conectada
a otras redes
tambin.
ese
los mecanismos
de control
por las
inferiores.
Si las
capas inferiores
no hacen
un En
trabajo
caso
usar
muchas
direcciones
de
IP.
Tales
computadoras
se
denominan
anfitriones
con
mltiples
la capa de
es la ltima
oportunidad
paralgica
la recuperacin
de errores.
Losadecuado,
puentes conectan
dostransporte
redes separadas
para formar
una red
(por ejemplo,
uniendo La
unacapa
red de
de
residencias.
Aqu
nuevamente
una
direccin
de
IP
no
puede
referirse
a
la
computadora.
Como
ya se
El dispositivo para extender la red que debe tener capacidad de almacenamiento para
sesin
control
para lasde
comunicaciones
entre
aplicaciones.
Establece,
administra
y
ethernet
con provee
un red la
deestructura
token). de
Este
dispositivo
hardware debe
tener
capacidad
de almacenamiento
a dispositivos
individuales
enentre
la red
sino
que se refieren
a las
almacenar marcos (frames) y para actuar como un dispositivo de almacenamiento y reenvo explic, las direcciones de IP no se refieren
termina
las
conexiones
(sesiones)
las
aplicaciones
que
cooperan
para almacenar marcos y para actuar como un dispositivo de almacenamiento y reenvo. Los puentes
conexiones mediante las cuales estn conectadas a la red.
es un:
operan en la capa de enlace de datos de OSI examinando el encabezador de control de acceso
a los medios de un paquete de datos. Los routers son dispositivos de cambio que operan en la capa
El DNS es primariamente utilizado en la Internet para la resolucin del nombre &direccin del sitio web. Es
En una arquitectura cliente /servidor, un servicio de nombre de dominio (domain name service-DNS) de red OSI examinando las direcciones de red (es decir, informacin de enrutamiento codificada en un paquete
un
Internet
que traduce
dominio
en direccin
es de IP. Como
los nombres
son
de servicio
IP). El de
router,
examinando
la nombres
direccinde de
IP, puede
tomar decisiones
inteligentes
para dirigir
es lo MS importante porque provee:
alfabticos,
son
ms
fciles
de
recordar.
Sin
embargo,
la
Internet
se
basa
en
direcciones
de
IP.
Cada
vez
que
el paquete a su destino. Las repetidoras amplifican las seales de transmisin para alcanzar dispositivos
se
usa untomando
nombre
de dominio,
un deservicio
DNS
debe traducir el ynombre
en la direccin
de IP
remotos
una seal
proveniente
un LAN,
reacondicionndola
recincronizndola,
y envindola
correspondiente.
El
sistema
DNS
tiene
su
propia
red.
Si
un
servidor
DNS
no
sabe
cmo
traducir
a otro. Esta funcionalidad est codificada por hardware y ocurre en la capa fsica de OSI. Los gateways proveenun
La interfaz que permite acceso a los servicios de red de nivel ms bajo o ms alto se denomina:
II
II
II
II
La interfaz comn de gateway (CGI) es una forma estndar para que un servidor de web pase la solicitud de
un usuario de web a un programa de aplicacin y para que reciba y enve los datos al usuario.
Cuando el usuario solicita una pgina de web (por ejemplo, presionando en una palabra
iluminada o ingresando una direccin de sitio de web), el servidor enva de regreso la pgina solicitada. Sin
embargo, cuando un usuario completa un formulario en una pgina web y lo enva, ste usualmente necesita
La
etapa
de
comunicaciones
requiere
procedimientos
de
verificacin
ser procesado
por uninterfaz
programadede aplicacin.
El servidor
web tpicamente
pasa la informacin
contenida endel
el
Recibir una transaccin de intercambio electrnico de datos (electronic data interchangedireccionamiento.
EDI
o
ANSI
X12
es
un
estndar
que
debe
ser
interpretado
por
una
aplicacin
para
formulario a un pequeo programa de aplicacin que procesa los datos y puede enviar de regreso un mensaje
de
EDI) y pasarla a travs de la etapa de interfaz de comunicaciones requiere a menudo:
que
las transacciones
sean procesadas
y luegopara
facturadas,
pagadas
y enviadas,
tanto
si aplicacin
corresponden
a mercanca
confirmacin.
Este mtodo,
o convencin
enviar datos
entre
el servidor
y la
se denomina
la
como
a
servicios.
SWIFT
es
un
ejemplo
de
cmo
EDI
ha
sido
implementado
y
adoptado.
Nola web.
tiene
interfaz comn de gateway (CGI, siglas de los trminos en ingls). Es parte del protocolo HTTP de
sentido
enviar
y recibir miden
transacciones
de EDI
las mismas
no sistema
pueden durante
ser procesadas
medio mide
de un
Las medidas
de throughput
cunto trabajo
es si
efectuado
por un
un perodopor
de tiempo;
Para un sistema de procesamiento de transacciones en lnea, las transacciones por segundo es una
sistema
interno.
Desempacar
transacciones
y
grabar
las
bitcoras
de
auditora
son
ambos
elementos
importantes
la productividad del sistema. En un sistema
medida de:
queprocesamiento
ayudan a cumplir
las reglas del negocio
a establecer
controles,
pero no son
de la etapa
de interfaz de
de
de transacciones
en lnea,y las
transacciones
por segundo
son parte
un ndice
de throughput.
El
las comunicaciones.
tiempo
de respuesta se define como la longitud de tiempo que transcurri entre el sometimiento de un input y
el recibo del primer carcter de output en un sistema en lnea. Turnaround time es la longitud de tiempo que
el sometimiento
de un todo
trabajoel ycontrol
el recibo
un outputLa completado.
Es una
El concepto entre
de piggybacking
compromete
fsicodeestablecido.
opcin B sera
Qu es un riesgo asociado con intentar controlar el acceso fsico a las reas sensitivas, como por transcurri
medida de tiempo
El porcentaje
de tiempo
que en
el lasistema
disponible
preocupacin
mnimaenen un
un sistema
entorno de lote.
recuperacin
de desastre.
Los puntos
opcin Cest
son se
duplican
ejemplo salas de computadora, a travs de llaves de tarjeta, cerrojos, etc.?
para
procesamiento
se
denomina
uptime
o
un
ndice
de
confiabilidad;
es
por
ello
que
esta
no han
es
fcilmente. Respecto a la opcin D, la tecnologa est cambiando constantemente pero las llaves de tarjeta
la respuesta
existido
por correcta.
algn tiempo ya y parece que son una opcin viable para el futuro previsible.
En un servidor de web, una interfaz comn de gateway (CGI) es usada con la MAYOR frecuencia
como:
II
Cul de las siguientes se considerara una caracterstica esencial de un sistema de administracin de

red?
Para rastrear la topologa de la red sera esencial que existiera una interfaz grfico No es
necesario que cada red est en la Internet y un help desk, y la capacidad de exportar a una hoja de
trabajo no es un elemento esencial.
II
El error ms probable que ocurre cuando se implementa un firewall es:
Una lista de acceso actualizada e impecable es un desafo significativo y, por lo tanto, tiene la mayor
oportunidad de errores en el momento de la instalacin inicial. Las contraseas no se aplican a los firewalls, un
mdem evade un firewall y un ataque de virus no es un elemento al implementar un firewall.
II
Cul de las siguientes disposiciones fsicas de LAN est sujeta a prdida total si falla un dispositivo? La red de bus es vulnerable a falla si falla un dispositivo. Los dispositivos estn conectados en un solo
cable. Si este calbe es cortado, todos los dispositivos ms all del punto de corte no estaran disponibles.
II
Una herramienta de diagnstico de red que monitorea y registra informacin de red es un:
II
Los analizadores de protocolo son herramientas de diagnstico de red que monitorean y registran informacin
de red de los paquetes que viajan en el enlace al que est conectado el analizador. Los monitores en lnea (Opcin
A) miden las transmisiones de telecomunicaciones y determinan si las transmisiones son correctas y completas.
Los reportes de tiempo improductivo (Opcin B) rastrean la disponibilidad de lneas y circuitos de
telecomunicacin. Los reportes de help desk (Opcin C) son preparados por el help desk, que tiene
Un CD que se escribe una sola vez no puede ser sobrescrito. Por lo tanto, el registro de sistema
Cul de los siguientes ayudar a detectar los cambios efectuados por un intruso al registro de sistema personal o es soportado por personal de soporte tcnico entrenado para manejar los problemas que
duplicado en el disco podra compararse con el registro original para detectar diferencias, que podra ser
de un servidor?
ocurren durante el curso de las operaciones de SI.
el resultado de cambios efectuados por un intruso. Proteger la escritura en el registro de sistema no previene la
eliminacin o modificacin, ya que el sper usuario puede evadir la proteccin de escritura. La copia de
respaldo y el mirroring pueden sobrescribir los archivos anteriores y no pueden estar actualizados.
II
Cuando se revisa la implementacin de una LAN el auditor de SI debe PRIMERO revisar:
II
Cul de los siguientes es un ejemplo del principio de defensa exhaustiva de la seguridad?
II
II
II
II
II
II
II
Paras revisar debidamente una implementacin de LAN, el auditor de SI debe primero verificar el diagrama de
red y confirmar la aprobacin. La verificacin de nodos de la lista de nodos y el diagrama de red sera luego
seguido por una revisin del reporte de la prueba de aceptacin y luego la lista del usuario.
Defensa exhaustiva (in-depth) significa usar diferentes mecanismos de seguridad que se respaldan entre s.
Cuando el trfico de red pasa involuntariamente un firewall, los controles de acceso lgico forman
una segunda lnea de defensa. Usar dos firewalls de diferentes vendedores para verificar de
manera consecutiva el trfico de red entrante es un ejemplo de diversidad en la defensa. Los
firewalls son los mismos mecanismos de seguridad. Usando dos productos diferentes se reduce la
Endurecer (hardening) un sistema significa configurarlo en la forma ms segura (instalar los
probabilidad de que ambos productos tengan las mismas vulnerabilidades. No tener letreros fsicos en la
Cul de los siguientes asegura MEJOR la integridad del sistema operativo de un servidor?
ltimos parches de seguridad, definir debidamente la autorizacin de acceso para usuarios y
parte exterior de un edificio de centro de computacin es una sola medida de seguridad. Usar dos firewalls
administradores, inhabilitar las opciones inseguras y desinstalar los servicios no utilizados) para
en paralelo para verificar diferentes tipos de trfico entrante es un solo mecanismo de seguridad y por lo tanto no
prevenir que los usuarios no privilegiados obtengan el derecho de ejecutar instrucciones privilegiadas y de
es diferente de hacer que un solo firewall verifique todo el trfico.
ese modo tomen control de toda la mquina, poniendo en peligro la integridad del SO. Proteger al servidor
Los sistemas Firewall son la herramienta primaria que permite que una organizacin impida el acceso no
Cul de los siguientes componentes de red es PRIMARIAMENTE establecido para serviren un lugar seguro y establecer una contrasea de inicio son buenas prcticas, pero no aseguran que un
autorizado entre las redes. Una organizacin puede escoger utilizar uno o ms sistemas que funcionan como
como una medida de seguridad impidiendo el trfico no autorizado entre diferentes segmentos usuario no tratar de aprovechar de las vulnerabilidades lgicas y comprometer el SO. El registro de
firewalls. Los routers pueden filtrar paquetes basados en parmetros, como por ejemplo direccin fuente,
de la red?
actividad tiene dos debilidades en este escenario – es un control de deteccin (no un control
pero no son primariamente una herramienta de seguridad. Basado en direcciones de Control de Acceso a
preventivo) y el atacante que ya obtuvo acceso privilegiado puede modificar los registros o inhabilitarlos.
los Medios (MAC) los switches de capa 2 separan el trfico en un puerto como segmentos diferentes
Una
llave/clave
externa
columna
en una
que referencia
unavirtual
llave/clave
primaria
de
y sin
determinar
si es
es una
trfico
autorizado
o tabla
no autorizado.
Una aLAN
(VLAN)
es una
Para evaluar la integridad referencial de una base de datos un auditor de SI debe revisar:
otra
tabla, proveyendo
la integridad
referencial.
Las llaves/claves
compuestas
constituidas
por
funcionalidad
de algunos as
switches
que les permite
conmutar
el trfico entre
diferentes estn
puertos
como si ellos
dos
o
ms
columnas
designadas
juntas
como
la
llave/clave
primaria
de
una
tabla.
La
indexacin
de
estuvieran en la misma LAN. Sin embargo, ellas no se ocupan de trfico autorizado versus no autorizado.
campo acelera las bsquedas, pero no asegura la integridad referencial. La integridad referencial est
relacionada con el esquema lgico, pero no con el esquema fsico.
Un auditor de SI detect que varias PCs conectados con el Internet tienen un nivel bajo de seguridad El archivo de cookies reside en la mquina cliente. Contiene datos pasados desde los sitios web, para que los
sitios web puedan comunicarse con este archivo cuando el mismo cliente regresa. El sitio web slo tiene acceso a
que est permitiendo el registro libre de cookies. Este crea un riesgo porque las cookies almacenan
esa parte del archivo de cookie que representa la interaccin con ese sitio web en particular. Los archivos de
localmente:
cookies han causado algunos problemas con respecto a la privacidad. Las cuatro opciones se relacionan todas
con una cookie, pero el hecho de que la cookie almacene informacin acerca del usuario es el riesgo.
Cul de los siguientes es la causa MS probable para que un servidor de correo sea usado para enviar Un proxy abierto (o relay abierto) permite que personas no autorizadas dirijan (route) su spam a travs
spam?
del servidor de correo de otro. POP3 y SMTP son protocolos de correo comnmente usados. Activar el
registro de actividad (accounting) de usuarios no se relaciona con usar un servidor para enviar spam.
A menos que est debidamente controlada, una memoria flash provee una posibilidad para que
La preocupacin de seguridad MS significativa cuando se usa una memoria flash (por ejemplo, disco
cualquiera copie cualquier contenido con facilidad. Los contenidos almacenados en la memoria flash no
removible USB) es que:
son voltiles. Sacar copias de respaldo a los datos de la memoria flash no es una preocupacin de control ya
que los datos son a veces almacenados como copia de respaldo. Una memoria flash ser accedida a travs de
un PC mejor que cualquier otro perifrico; por lo tanto, la compatibilidad no es un problema.
Un auditor de SI que revisa una aplicacin de base de datos descubre que la
El auditor de SI debe primero determinar si las modificaciones fueron aprobadas debidamente. Las opciones A,
configuracin actual no coincide con la estructura diseada originalmente. Cul de los
B y C son posibles acciones posteriores, si el auditor encuentra que la modificacin estructural no ha sido
siguientes debera ser la prxima accin del auditor de SI?
aprobada.
II
II
II
II
II
II
II
La normalizacin es un proceso de diseo o de optimizacin para una base de datos (DB)

relacional que minimiza la redundancia; por lo tanto, la desnormalizacin aumentara la redundancia
(redundancia que es, por lo general, considerada positiva cuando es una cuestin de disponibilidad de
recursos, es negativa en un entorno de base de datos, ya que exige esfuerzos adicionales, de otro modo
innecesarios, de manejo de datos.) La desnormalizacin es a veces aconsejable por razones de
el servicio e instalar la reparacin de seguridad es la forma ms segura de impedir que el gusano se
Cul de los siguientes es el mtodo MS efectivo para tratar con la divulgacin de un gusano de red Detener
funcionalidad. No debera causar prdida de confidencialidad, accesos no autorizados ni malos
extienda. Si el servicio no es detenido, instalar la reparacin no es el mtodo ms efectivo porque el
que se aprovecha de la vulnerabilidad en un protocolo?
funcionamientos de las aplicaciones.
gusano contina extendindose hasta que la reparacin se vuelve efectiva. Bloquear el protocolo en el
permetro no impide al gusano extenderse a la red(es) interna(s). Bloquear el protocolo ayuda a
desacelerar
prohbe
a todo
utiliza que
trabaje
Un monitor la
de expansin
referencia pero
es un tambin
mecanismo
abstracto
que software
verifica que
cadalo solicitud
hecha
porentre
un
################################################################################# individuo
segmentos. (proceso de usuario) para tener acceso y usa un objeto (por ej., archivo, dispositivo,
############################
programa) para asegurar que la solicitud cumple con una poltica de seguridad. Un monitor
de referencia es implementado a travs de un ncleo (kernel) de seguridad, que es un mecanismo de
hardware /software /firmware. El Protocolo de Resolucin de Direccin
La
raznesprincipal
para invertir
herramientas
de filtrado
la web yde
de Internet
correo electrnico
es que
ellas
(ARP)
un protocolo
para en
mapear
una direccin
de de
Protocolo
(IP) a una
direccin
Las herramientas de filtrado de la web y del correo electrnico son PRINCIPALMENTE valiosas
reducen
significativamente
los
riesgos
relacionados
con
virus
y
material
que
no
es
del
negocio.
La
opcin
B
de mquina fsica que es reconocida en la red local. Un analizador de control de acceso es una
para una organizacin porque ellas:
podra ser ciertadeen
algunaspara
circunstancias
(i.e.,
ser implementada
ajuntolos
con
un programa
de
utilera/utilidad
auditora
analizar cun
biennecesitara
se han implementado
y mantenido
controles
de acceso
conocimiento,
para
que
el
desempeo
/
rendimiento
del
empleado
pueda
ser
mejorado
de
manera
dentro de un paquete de control de acceso. Un monitor concurrente es una utilera/utilidad de
significativa);
embargo,
tales casos,
no sera tan
A. Las
y Destn
son
auditora
quesincapta
los en
eventos
seleccionados
a relevante
medida como
que la
losopcin
sistemas
de opciones
aplicacinC se
Si no se investigan las acciones no autorizadas del sistema, el registro no tiene utilidad. Purgar los registros
Cul de los siguientes es el MAYOR riesgo relacionado con el monitoreo de los registros de
secundarias
o
beneficios
indirectos.
ejecutando para facilitar la evaluacin de la calidad de programa.
antes de una revisin peridica es un riesgo pero no es tan crtico como la necesidad de investigar las
auditora?
acciones cuestionables. Registrar los eventos de rutina pueden hacer ms difcil reconocer las acciones no
autorizadas, pero los eventos crticos an as se registran. Los procedimientos para habilitar y
revisar los registros deben ser documentados, pero la documentacin no asegura la investigacin.
determinar:
demasiado estrechos en su alcance para asegurar que los procesos de TI estn, en efecto, soportando las
existir un comit de seguimiento para asegurar que las estrategias de TI soporten las metas de la
El efecto MS probable de la falta de participacin de la alta gerencia en la planeacin estratgica de Debe
metas de la organizacin.
TI es:
El administrador de base de datos (DBA) sugiere que la eficiencia de la Base de Datos
(DB) puede ser mejorada desnormalizando algunas tablas. Esto resultara en:
II
II
El comit de direccin de SI tpicamente sirve como una junta general de revisin para los principales
proyectos de SI y no debe involucrarse en operaciones de rutina, por lo tanto, una de sus funciones es
aprobar y monitorear los principales proyectos, la situacin de los planes y presupuestos de SI. El control de
cambio de vendedor es un aspecto de outsourcing y debe ser monitoreado por la gerencia de SI. Asegurar una
separacin de funciones dentro del entorno de procesamiento de la informacin es una responsabilidad de la
gerencia de SI. El enlace entre el departamento de SI y los usuarios finales es una funcin de las partes
actividades del comit de direccin de SI, y la junta directiva debe ser informada a su debido tiempo.
individuales y no de un comit.
La opcin A es incorrecta porque slo la gerencia principal o los niveles altos del personal
deben ser miembros de este comit debido a su misin estratgica. La opcin B no es una responsabilidad
de este comit sino la responsabilidad del administrador de seguridad. La opcin D es incorrecta porque
II
Los planes estratgicos proveen la base para asegurar que la empresa cumpla sus metas y
II
El gobierno efectivo de TI asegurar que el plan de TI sea consistente con el:
Para gobernar TI eficazmente, TI y el negocio deben moverse en la misma direccin, requiriendo que
los planes de TI estn alineados con los planes de negocio de una organizacin. Los planes de auditora y
de inversin no forman parte del plan de TI y el plan de seguridad debe ser al nivel corporativo.
II
Establecer el nivel de riesgo aceptable es responsabilidad de:
La alta gerencia debera establecer el nivel de riesgo aceptable, ya que ellos son los responsables en ltima
instancia o los responsables finales de la operacin efectiva y eficiente de la organizacin. Las opciones A, C y D
deberan actuar como asesores de la alta gerencia para determinar un nivel aceptable de riesgo.
II
El gobierno de TI es PRIMARIAMENTE responsabilidad del:
II
II
II
II
II
El cuadro de mandos o marcador balanceado (balanced scorecard) de TI es una

herramienta de gobierno del negocio que est destinada a monitorear los indicadores de
evaluacin del desempeo (performance) de TI aparte de:
El gobierno de TI es primariamente responsabilidad de los ejecutivos y de los accionistas

(representados por la junta directiva [board of directors.]) El director general es instrumental para
implementar el gobierno de TI en conformidad con las instrucciones de la junta directiva. El comit de
seguimiento de TI monitorea y facilita el despliegue de los recursos de TI para proyectos especficos en soporte
de
los planes
negocio. Eldecomit
de auditora
reporta ade
la junta
directiva debe
y debeestablecer
monitorearresponsabilidad
la implementacin
Desde
una de
perspectiva
control,
la descripcin
un trabajo
y
de
las
recomendaciones
de
auditora.
deber de reportar/imputabilidad (accountability). Esto ayudar a asegurar que se d a los usuarios acceso al
sistema en conformidad con las responsabilidades definidas de su trabajo. Las otras opciones no estn
directamente relacionadas con los controles. Proveer instrucciones sobre cmo hacer el trabajo y definir la
autoridad, resuelve los aspectos gerenciales y de procedimiento del trabajo. Es importante que las
Una
investigacin
de los
el mtodo yprimario
para
asegurar por
la integridad
de pero
un
descripciones
del trabajo
estnantecedentes
actualizadas, es
documentadas
fcilmente
disponibles
el empleado,
prospectivo
personal.
son de
importantes
y sera necesario
verificarlas,
no
esto por s miembro
solo no del
es un
control.LasLareferencias
comunicacin
las expectativas
especficas
de la pero
gerencia
son
tan
fiables
como
la
investigacin
de
los
antecedentes.
La
fianza
est
referenciando
al
cumplimiento
de
la
por el desempeo/performancia del trabajo describe el estndar de desempeo/performancia y no incluira
debida diligencia,
no a la integridad, y las calificaciones/habilidades indicadas en un rsum/curriculum
necesariamente
los controles.
vitae/hoja de vida, pueden no ser correctas.
ejemplos de controles compensatorios son las bitcoras de transacciones, las pruebas de razonabilidad,
las revisiones independientes y las pistas de auditora tales como bitcoras de consola, bitcoras de biblioteca y la
fecha de contabilidad del trabajo. Las verificaciones de secuencia y los dgitos de verificacin
control de archivo de datos.
a un empleado designado, sin embargo, esto debe efectuarse despus de implementar la opcin D.
Se debe hacer copia de respaldo de todo el trabajo del empleado despedido, y se debe notificar a los
Los
resultados
financieros del
hanempleado,
sido tradicionalmente
la preceder
nica medida
general
desempeo.
El cuadro
empleados
de la terminacin
pero esto no debe
a la accin
en ladeopcin
D.
de mandos o marcador balanceado de TI (BSC) es una herramienta de gobierno del negocio de TI
dirigida a monitorear los indicadores de evaluacin del desempeo de TI adems de los
resultados financieros. El BSC de TI considera otros factores clave de xito, tales como la satisfaccin del cliente,
la capacidad de innovacin y el procesamiento.
II
II
II
II
II
II
El establecimiento de perodos contables es una de las actividades crticas de la funcin de finanzas. Otorgar
La funcin de establecimiento del libro mayor/mayor general (general ledger) en un
paquete empresarial (ERP) permite fijar perodos contables. El acceso a esta funcin ha sido
permitido a los usuarios en finanzas, almacn e ingreso de rdenes. La razn MS probable para
contables no deberan ser cambiados a intervalos regulares, sino que se deberan establecer de manera
dicho amplio acceso es:
Las
vacaciones
requeridas
de unapor
semana
o ms
derea
duracin
en lao que
alguien que Lanonecesidad
sea el empleado
necesario,
esto debera
ser hecho
alguien
en el
de finanzas
de contabilidad.
de crear
regular
realice
la
funcin
del
puesto
de
trabajo
es
a
menudo
obligatoria
para
las
posiciones
importantes.
semana o ms para:
Esto
reduce
la oportunidad
actos
indebidos
ilegales,
y durante este tiempo puede
funcin
que debera
ser realizadadeporcometer
el personal
de almacn
o de oingreso
de rdenes.
ser posible descubrir cualquier actividad fraudulenta que estuviera ocurriendo. Las opciones A, C
y D todas podran ser beneficios de la organizacin provenientes de una poltica de vacaciones
Un
administrador
LANporno
debera
tener responsabilidades de programacin pero puede tener
obligatorias,
pero no de
la razn
la que
se establece.
responsabilidades de usuario final. El administrador de LAN puede reportarse al director de la IPF o, en
una operacin descentralizada, al gerente de usuario final. En las organizaciones pequeas, el administrador
de LAN puede tambin ser responsable de la administracin de seguridad del LAN.
Un empleado de SI de largo plazo que cuenta con un antecedente tcnico fuerte y conLa independencia debera ser constantemente evaluada por el auditor y la gerencia. Esta evaluacin
amplia experiencia gerencial ha aplicado para una posicin vacante en el departamento dedebera considerar factores tales como las relaciones personales, los intereses financieros y previas
auditora de SI. La determinacin de si se debe contratar a esta persona para esta posicinasignaciones y responsabilidades del puesto de trabajo. El hecho que el empleado haya trabajado en
debera basarse en la experiencia de la persona y en:
departamento de auditora deberan ser definidas y cualquier candidato debera ser evaluado contra
Las
de un analista
de telecomunicaciones
incluyen
requerimientos
de y
carga
de las
esos responsabilidades
requerimientos. Adems,
la duracin
del servicio no asegurar
la competencia
tcnica,
evaluar
red
en trminos
de persona
volmenes
corrientes
y futuros
de transacciones
B), evaluar
el impacto
de la
calificaciones
de una
basndose
en la edad
de la persona
no es un (opcin
buen criterio
y es ilegal
en muchas
carga
de
red
o
los
tiempos
de
respuesta
de
las
terminales
y
las
velocidades
de
transferencia
de
datos
de
red
partes del mundo.
(opcin C) y recomendar procedimientos y mejoras de balanceo de red (opcin D). Monitorear el desempeo
de los sistemas y rastrear los problemas como un resultado de los cambios de programa (opcin A) pondra al
requiere
unafuncin
definicin
de indicadores
analista
en una
de auto
monitoreo. clave de desempeo antes de implementar un cuadro de mandos o
Antes de implementar un cuadro de mandos o marcador balanceado (balanced scorecard) de TI, una Se
marcador
balanceado
(balanced
scorecard) de
organizacin debe:
TI. Las opciones A, C y D son objetivos.
II
II
II
delinear cmo se alcanzara cada uno de los objetivos. La opcin D podra ser parte del plan general pero se
requerira solamente si se necesitara hardware o software para lograr las metas organizativas.
La integracin de SI y del personal de negocios en los proyectos es un aspecto operativo y debe ser considerado
mientras se revisa el plan de corto plazo. Un plan estratgico proveera un marco para el plan de corto plazo de SI.
Las opciones B, C y D son reas cubiertas por un plan estratgico.
El departamento de IS debe considerar especficamente la forma en que se asignan los recursos en

Qu es lo que un auditor de sistemas considerara MS relevante para la planificacin de corto plazo
el corto plazo. Las inversiones en TI necesitan estar alineadas con las estrategias principales de la

orientada al tiempo y a los proyectos, pero tambin debe resolver y ayudar a determinar prioridades para
satisfacer las necesidades del negocio. Los planes de largo y corto plazo deberan ser consistentes con los planes
ms amplios de la organizacin para alcanzar sus metas. La opcin D representa un objetivo de negocio
La
pone laendireccin
movimiento
corporativos
Tanto
los
que planeacin
se pretendeestratgica
para enfocar
generalobjetivos
del negocio
y sera de oesedepartamentales
modo una parte
del plan
planes
estratgicos
a
largo
plazo
como
a
corto
plazo
deberan
ser
consistentes
con
los
planes
ms
estratgico de la organizacin. Las otras opciones estn orientadas a proyectos y no resuelven los objetivos del
amplios
negocio. de la organizacin y los objetivos del negocio para alcanzar estas metas. La respuesta A es incorrecta ya
que la gerencia de lnea prepar los planes.
II
II

II
Un auditor de SI que revisa el plan estratgico de TI de una organizacin debera PRIMERO revisar: El plan estratgico de TI existe para respaldar el plan de negocios de la organizacin. Para evaluar
el plan estratgico de TI, el auditor de SI necesitara primero familiarizarse con el plan de negocios.
II
Cuando se revisan las estrategias de SI, el auditor de SI puede determinar MEJOR si la estrategia de SIDeterminar si el plan de SI es consistente con la estrategia de la gerencia relaciona la planificacin de SI/TI con
los planes del negocio. Las opciones A, C y D
son mtodos efectivos para determinar si los planes de SI estn en armona con los objetivos del negocio y con
las estrategias de la organizacin.
II
La ventaja de un mtodo de abajo hacia arriba para el desarrollo de polticas organizativas es que las
polticas:
II
II
II
II

se derivan y se implementan como el resultado de evaluaciones de riesgo. Las polticas a nivel de la empresa
se desarrollan posteriormente con base en una sntesis de las polticas operativas existentes. Las opciones A, C y
Sin
una poltica que defina quin tiene la responsabilidad de otorgar acceso a sistemas especficos, hay
organizacin.
un mayor riesgo de que uno pueda obtener (se le pueda dar a uno) acceso al sistema cuando de
hecho esa persona no debera tener autorizacin. La asignacin de autoridad para otorgar acceso a
respaldados.
TI. Revisar si las polticas estn disponibles para todos es un objetivo, pero la distribucin no asegura
el cumplimiento. La disponibilidad de organigramas con descripciones de las funciones y segregacin de
El
cambio requiere
que se en
implementen
ejecuten
buenos
procesos
de administracin
de
las funciones,
podra incluirse
la revisin,y pero
no son
el objetivo
primario
de una auditora
cambios.
Hacer de
unseguridad.
outsourcing a la funcin de SI no est directamente relacionado con la
de las polticas
para cambiar de trabajo con frecuencia. A pesar que es importante satisfacer los requerimientos de los usuarios,
Todos
deben
tener conocimiento
de de
la cambio
poltica tecnolgico
de seguridad
deentorno
la empresa
ello no los
est empleados
directamente
relacionado
con la velocidad
en el
de SI.para prevenir la
revelacin no intencional de informacin sensitiva. La capacitacin es un control preventivo. Los programas
de concientizacin de la seguridad para los empleados puede prevenir la revelacin no intencional de
informacin sensitiva a personas ajenas.
II
II
II
Cuando se ha diseado una poltica de seguridad de informacin, lo MS importante es que la poltica
pero no asegurar su divulgacin.
tambin funciona dentro de la amplia poltica de seguridad definida por la junta directiva. El administrador
de la seguridad es responsable de implementar, monitorear y hacer cumplir las reglas de seguridad que la
Una
poltica
sana de y
seguridad
de SI es ms probable que esboce un programa de respuesta para
gerencia
ha establecido
autorizado.
manejar
las
intrusiones
sospechosas.
Los programas de correccin, deteccin y monitoreo son todos
aspectos de seguridad de informacin, pero probablemente no sern incluidos en una declaracin de poltica
de seguridad de SI.
II
II
Cul de los siguientes es un paso inicial para crear una poltica de firewall?
II
La poltica de seguridad provee la estructura amplia de la seguridad, como ha sido dispuesta y aprobada
por la alta gerencia. Incluye una definicin de las personas autorizadas para otorgar acceso y la base para
otorgarlo. Las opciones A, B y C estn ms detalladas que lo que debera incluirse en una poltica.
La identificacin de las aplicaciones requeridas en toda la red debe ser identificada primero. Despus de la
identificacin, dependiendo de la ubicacin fsica de estas aplicaciones en la red y el modelo de red,
la persona a cargo podr entender la necesidad y las posibles formas de controlar el acceso a
estas aplicaciones. Identificar los mtodos para proteger contra las vulnerabilidades identificadas y
su anlisis comparativo costo-beneficio es el tercer paso. Habiendo identificado las aplicaciones, el
sistema
de deteccin
de intrusos para
reportar sobre
los con
incidentes
que ocurren
es una
La administracin de una organizacin ha decidido establecer un programa de conocimiento de la Utilizar
siguienteunpaso
es identificar
las vulnerabilidades
(debilidades)
asociadas
las aplicaciones
de red.
El
seguridad. Cul de los siguientes es MS
implementacin
de
un
programa
de
seguridad
y
no
es
efectivo
para
establecer
un
programa
de
siguiente paso es analizar el trfico de aplicacin y crear una matriz que muestre cmo cada tipo de trfico ser
probable que sea parte del programa?
conocimiento
de la seguridad. Las opciones B y C no resuelven el conocimiento. El entrenamiento es la nica
protegido.
opcin que est dirigida al conocimiento de la seguridad.
II
Cul de los siguientes es MS crtico para la implementacin exitosa y el mantenimiento de una

poltica de seguridad?
II
Una poltica exhaustiva y efectiva de correo electrnico debera resolver los problemas
de estructura de correo electrnico, ejecucin de polticas, monitoreo y:
II
En una organizacin donde se ha definido una lnea base (baseline) de seguridad de TI el auditor de
SI debe PRIMERO asegurar:
La asimilacin de la estructura y la intencin de una poltica de seguridad escrita por parte de los usuarios de
los sistemas es crtico para la implementacin exitosa y el mantenimiento de la poltica de
seguridad. Uno puede tener un buen sistema de contrasea, pero si los usuarios del sistema
mantienen contraseas escritas en su mesa, el sistema de contrasea tiene poco valor. El soporte y
dedicacin de la gerencia es sin duda importante, pero para una implementacin exitosa y un
mantenimiento de la poltica de seguridad, la educacin de los usuarios sobre la importancia de la
seguridad es de suprema importancia. La estricta implementacin, monitoreo y ejecucin de reglas por parte
del funcionario de seguridad a travs de un software de control de acceso y la disposicin de acciones
clsico “documento” hace de la retencin de correspondencia electrnica una necesidad. Todo
punitivas por la violacin de las reglas de seguridad tambin se requiere conjuntamente con la educacin
el correo electrnico generado en el hardware de una organizacin es propiedad de la organizacin y
del usuario sobre la importancia de la seguridad.
una auditor
poltica debe
de correo
electrnico
resolver ladelretencin
de mensajes,
considerando
los
El
primero
evaluar debe
la definicin
nivel mnimo
de lnea
base para tanto
asegurar
litigios
conocidos
como
los
impredecibles.
La
poltica
debera
tambin
ocuparse
de
la
destruccin
de
correos
la idoneidad de los controles. La documentacin, la implementacin y el cumplimiento son otros
electrnicos
despus de un tiempo especificado para proteger la naturaleza y la confidencialidad de los
pasos
adicionales.
mensajes mismos. Considerar el tema de la retencin en la poltica de correo electrnico facilitara la
II
II
organizacionales y luego revisar el acatamiento de estas polticas, estndares y procedimientos especficos.
Un objetivo de control de TI se define como la declaracin del resultado deseado o el propsito a ser alcanzado
implementando procedimientos de control en una actividad particular de TI. Ellos proveen los objetivos
entender:
II
II
II
II
II
Una declaracin de poltica refleja la intencin y el respaldo brindado por la gerencia ejecutiva para una
Cuando se realiza una revisin de los controles generales es importante que un auditor de SI preste atencin
al tema de la segregacin de funciones, que est afectada por prcticas de vacaciones /feriados. Las polticas y
el cumplimiento de vacaciones obligatorias puede variar dependiendo del pas y de la industria. Las
moral, no un problema de control. La formacin del personal es deseable, pero no tan crtico como una
acuerdos escritos asistiran a la gerencia a asegurar el cumplimiento de los requerimientos
Una organizacin que adquiere otros negocios contina sus sistemas heredados de EDI, y Los
segregacin apropiada de funciones.
externos.
Mientras que la gerencia debe obtener garanta independiente de cumplimiento, ello no se
usa tres proveedores separados de red de valor agregado (VAN). No existe ningn acuerdo
escrito de VAN. El auditor de SI debe recomendar a la gerencia que:
acuerdos de VAN para revisin, puede ayudar al desarrollo de planes de continuidad si se les considera
un ambiente de outsourcing, la compaa depende del desempeo del proveedor del servicio. Por esta
De las funciones siguientes, cul es la funcin MS importante que debe realizar la administracin En
recursos crticos de TI, sin embargo, esto no se puede lograr hasta que exista un contrato.
razn, es crtico que se monitoree el desempeo del proveedor de outsourcing para asegurar que ste preste a la
desempeo del proveedor de outsourcing, mientras que los honorarios de renegociacin son por lo general
Es apropiado que un auditor de SI de una compaa que est considerando hacer outsourcing de La
del auditor
devez.
SI es asegurar que los activos de la compaa estn siendo
unaresponsabilidad
actividad que seprimaria
lleva a cabo
una sola
su procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada
salvaguardados. Esto es verdad incluso si los activos no residen en las premisas inmediatas. Las oficinas
proveedor?
II
II
Un auditor de SI que revisa un contrato de outsourcing de las instalaciones de TI esperara que ste
defina:
Outsourcing es un acuerdo contractual por el cual la organizacin entrega el control sobre una parte o
sobre la totalidad del procesamiento de informacin a una parte externa. Esto se hace con frecuencia para
adquirir recursos o experiencia adicionales que no se obtiene desde el interior de la organizacin.
siendo procesada, los programas de aplicacin). La propiedad de la propiedad intelectual tendr un costo
II
II
II
II
Cuando efecta una revisin de la estructura de un sistema de transferencia electrnica deEn el proceso de transferencia de fondos, cuando el esquema de procesamiento est centralizado en
fondos (EFT), un auditor de SI observa que la infraestructura tecnolgica est basada enun pas diferente, podra haber problemas legales de jurisdiccin que pudieran afectar el derecho a
un esquema centralizado de procesamiento que ha sido asignado (outsourced) a unrealizar una revisin en el otro pas. Las otras opciones, aunque posibles, no son tan relevantes
proveedor en otro pas. Basado en esta informacin, cul de las siguientes conclusiones debe ser lacomo el problema de jurisdiccin legal.
PRINCIPAL preocupacin del auditor de SI?
Una organizacin ha hecho un outsourcing de su desarrollo de software. Cul de los siguientes es Administrar/Gestionar activamente el cumplimiento de los trminos del contrato para los servicios
externalizados (outsourced) es responsabilidad de la gerencia de TI. El pago de facturas es una
responsabilidad de la gerencia de TI de la organizacin?
responsabilidad de finanzas. La negociacin del acuerdo contractual ya habra ocurrido y por lo general
es una responsabilidad compartida del departamento legal y de otros departamentos, como por ejemplo TI.
Un auditor de SI debera esperar que cul de los siguientes elementos sean incluidos
que estn siendo contratadas. Las referencias de otros clientes proveeran una revisin y
en la solicitud de propuesta (RFP) cuando SI est adquiriendo servicios de un proveedor de
verificacin independiente, externa, de procedimientos y procesos que sigue el ISP –
aspectos que seran de preocupacin para el auditor de SI. Verificar las referencias es un medio de
obtener una verificacin independiente de que el vendedor puede efectuar los servicios que dice que
unaUn
poltica
de de
registros
de e-mailse
bien
archivados,
es posible
acceso
o la recuperacin
de de
registros
de epuede.
acuerdo
mantenimiento
relaciona
ms con
equiposelque
conaservicios,
y un plan
conversin,
Los riesgos asociados con recopilar evidencia electrnica es MS probable que se reduzcan, en el caso Con
mails
sin revelar
otros
registrosque
de lae-mail
confidenciales.
Laspuede
polticas
de losseguridad
y/o
de un e-mail, por una:
aunqueespecficos,
es importante,
es menos
importante
verificacin
de que el ISP
proveer
servicios que
polticas
de
auditora
no
resolveran
la
eficiencia
de
recuperacin
de
registros,
y
destruir
e-mails
ellos proponen.
El proceso de administracin del riesgo trata sobre la toma de decisiones relacionadas con seguridad
especfica, tal como el nivel de riesgo aceptable. Las opciones A, B y D no son las metas en ltima instancia
del proceso de administracin del riesgo.
II
El resultado (output) del proceso de administracin de riesgos es un input para hacer:
II
El auditor de SI debe identificar los activos, buscar vulnerabilidades, y luego identificar las amenazas y la
Un auditor de SI fue contratado para revisar la seguridad de un negocio electrnico
(e-business). La primera tarea del auditor de SI fue examinar cada aplicacin existente de e- probabilidad de que ocurran. Las opciones A, B y D deberan ser discutidas con el director de
sistemas (Chief Information Officer—CIO) y se debera entregar un reporte al director general
business en busca de vulnerabilidades. Cul sera la siguiente tarea?
(Chief Executive Officer— CEO.) El reporte debera incluir los hallazgos junto con las prioridades y los
costos.
Los riesgos se mitigan implementando prcticas apropiadas de seguridad y de control. El seguro es un
Cul de los siguientes es un mecanismo para mitigar los riesgos?
mecanismo para transferir el riesgo. La auditora y la certificacin son mecanismos de aseguramiento del riesgo,
y los contratos y SLAs son mecanismos de asignacin de riesgo.
II
II
Cuando se desarrolla un programa de administracin de riesgos, la PRIMERA actividad que se debe

realizar es:
II
Un equipo que lleva a cabo un anlisis de riesgo est teniendo dificultad para proyectar las prdidas
financieras que podran resultar de riesgo. Para evaluar las prdidas potenciales el equipo debera:
La identificacin de los activos a ser protegidos es el primer paso en el desarrollo de un programa de

administracin de riesgos. Un listado de las amenazas que pueden afectar el desempeo de estos activos y el
anlisis de criticalidad son pasos posteriores en el proceso. La clasificacin de datos se requiere para
definir los controles de acceso, y en el anlisis de la criticalidad.
La prctica comn, cuando es difcil calcular las prdidas financieras, es tomar un enfoque cualitativo, en
el que el gerente afectado por el riesgo define la prdida financiera en trminos de un factor ponderado
(e.g., 1 es un impacto muy bajo para el negocio y 5 es un impacto muy alto). Un ROI es computado cuando
hay ahorros o ingresos predecibles, que pueden ser comparados con la inversin que se necesita para realizar
los ingresos. La amortizacin se usa en un estado de ganancias y prdidas, no para computar las prdidas
II
II
II
II
II
II
II
II
II
La falta de controles adecuados de seguridad representa una vulnerabilidad, exponiendo informacin y datos
sensitivos al riesgo de daos maliciosos, ataque o acceso no autorizado por hackers, que tiene como
consecuencia la prdida de informacin sensitiva, que podra conducir a la prdida de plusvala
(goodwill) para la organizacin. Una definicin sucinta del riesgo es suministrada por las Directivas para
la Gerencia de Seguridad de TI publicadas por la Organizacin Internacional para la Estandarizacin
Un
proceso
de medicin
del como
desempeo/performancia
puede
optimizar
el
(ISO),
que define
el riesgo
el “potencialdedeTIque
una usarse
cierta para
amenaza
se aproveche
de la vulnerabilidad de un activo o de un grupo de activos para causar prdida o dao a los
activos”. Los diversos elementos de la definicin son vulnerabilidad, amenaza, activo e impacto.
La falta de una funcionalidad adecuada de seguridad en este contexto es una vulnerabilidad.
desempeo/performancia. Recopilar datos de desempeo/performancia es una etapa del proceso de medicin de
Los mtodos de anlisis proveen un mecanismo, por el cual la gerencia de SI puede determinar cundo y si las
Cul de lo siguiente proveera un mecanismo por el cual la gerencia de SI puede determinar TI
y se usara para evaluar el desempeo/performancia contra lneas base de desempeo/performancia establecidas
cundo, y si, las actividades de la empresa se han desviado de los niveles planeados, o de los
incluyen
los presupuestos de SI, la planeacin de la capacidad y del crecimiento, los estndares
anteriormente.
esperados?
El
gobiernoLos de
seguridad
de informacin,
cuando est
debe
proveer
mejorados.
principios
de gerencia
difieren dependiendo
de ladebidamente
naturaleza delimplementado,
departamento de
SI. Ellos
se
Como resultado del gobierno de seguridad de informacin, la alineacin estratgica dispone:
cuatro
resultados
bsicos.
sonel cambio,
alineamiento
estratgico,
entrega de
manejo del
riesgode
y
concentran
en reas tales
como Estos
la gente,
los procesos,
la seguridad,
etc.valor,
Los estndares
/puntos
medida
del
desempeo.
La
alineacin
estratgica
provee
datos
de
entrada
(input)
para
los
requerimientos
de
referencia de la industria proveen un medio de determinar el nivel de desempeo provisto por
seguridad
impulsadosdeporinstalaciones
los requerimientos
de la empresa.de
La informacin.
entrega de valor
provee
un conjunto
estndar
entornos similares
de procesamiento
Estos
estndares,
o estadsticas
de prcticas
de
seguridad,
i.e.,
seguridad
bsica
que
sigue
las
mejores
prcticas
o
soluciones
institucionalizadas
o
referencia se pueden obtener de los grupos de vendedores usuarios, publicaciones de la industria y
juntas directivas y la gerencia ejecutiva pueden usar el modelo de madurez de gobierno de seguridad de
En una organizacin, las responsabilidades de seguridad de TI estn claramente asignadas yLas
de
materia prima.
El manejo del riesgo provee un entendimiento de la exposicin al riesgo.
asociaciones
profesionales.
ejecutadas y se efecta de manera consistente un anlisis del riesgo de la seguridad de TI y delinformacin para establecer clasificaciones para la seguridad en sus organizaciones. Los rangos son
impacto. Qu nivel de clasificacin representa esto en el modelo de madurez de gobierno deinexistentes, iniciales, repetibles, definidos, manejados y optimizados. Cuando las responsabilidades de la
seguridad de TI estn claramente asignadas y ejecutadas y se realiza de manera consistente un anlisis del
seguridad de informacin?
riesgo y del impacto sobre la seguridad de TI, se dice que est "manejado y que es mesurable."
La alta gerencia media entre los imperativos del negocio y la tecnologa es una mejor prctica de alineamiento
Cul de las siguientes mejores prcticas de gobierno de TI mejora el alineamiento estratgico?
estratgico de TI. Los riesgos del proveedor y del socio que estn siendo manejados es una mejor
prctica del manejo del riesgo. Una base de conocimientos de los clientes, productos, mercados y
procesos que est instalada es una mejor prctica de entrega de valor de TI. Una infraestructura que es
suministrada para facilitar que se cree y se comparta informacin de negocio es una mejor prctica de entrega de
Un gobierno efectivo de TI requiere que la junta y la gerencia ejecutiva extiendan el gobierno
Un gobierno efectivo de TI requiere estructuras y procesos organizacionales para asegurar que:
valor y manejo del riesgo de TI.
a TI y provean el liderazgo, las estructuras y procesos organizacionales que aseguren que la TI de la
organizacin sostiene y extiende las estrategias y objetivos de la organizacin y que la estrategia est en armona
con la estrategia del negocio.
La opcin A es incorrecta porque es la estrategia de TI la que
extiende
los
objetivos
de
la
organizacin,
no a la
inversa.
El gobierno
de TI no es una disciplina
aislada;
Para analizar los riesgos de TI, es necesario
evaluar
las amenazas
y vulnerabilidades
usando mtodos
La evaluacin de los riesgos de TI se logra MEJOR:
debe convertirse
en parte integral
gobierno general
de laLas
empresa.
cualitativos
o cuantitativos
de del
evaluacin
del riesgo.
opciones B, C y D son potencialmente
La falta de controles adecuados de seguridad representa:
Cuando existe preocupacin por la segregacin de funciones entre el personal de

soporte y los usuarios finales, cul sera un control compensatorio adecuado?
insumos tiles para el proceso de evaluacin del riesgo, pero por s mismas no son suficientes.
Basar una evaluacin en las prdidas pasadas no reflejar de manera adecuada los cambios inevitables a los
activos, proyectos, controles de TI y al entorno estratgico de la empresa. Probablemente tambin hay
Slo
revisar con
los registros
de transacciones
y delos
aplicacin
directamente
resuelve la amenaza
la
problemas
el alcance
y la calidad de
datos de
prdida disponibles
a ser planteada
evaluados.porLas
segregacin
deficiente
de funciones.
La revisinenes sus
un activos
medio de
de TI,
detector
organizaciones
comparables
tendrn diferencias
entornoel comportamiento
de control y
inapropiado
y
tambin
disuade
de
uso
inapropiado,
porque
las
personas
que
pueden
otro evaluar
modo
circunstancias estratgicas. De ah que su experiencia de prdida no pueda ser
usadadepara
tentarse
de explotar
estn
concientes Las
de debilidades
la probabilidad
de ser
atrapados.durante
La
directamente
el riesgola desituacin
TI de la
organizacin.
de control
identificadas
segregacin
inadecuada
de
funciones
es
ms
probable
que
sea
explotada
a
travs
del
acceso
lgico
a
las auditoras sern relevantes para evaluar la exposicin a las amenazas y es posible que ms anlisis sean
II
Dar responsabilidad a las unidades del negocio sobre el desarrollo de aplicaciones conducir MUY
probablemente a:
II
Un mtodo de arriba abajo para el desarrollo de las polticas operacionales ayudar a asegurar:
II
Un auditor de SI que revisa una organizacin que usa prcticas de entrenamiento cruzado debe
evaluar el riesgo de:
II
II
II
II
Al desarrollar aplicaciones en las unidades de negocio, los usuarios ahora a cargo de las aplicaciones podran
evadir los controles. Las opciones A, C y D no estn relacionadas con, ni puede asumirse que resulten de, mover
las funciones de SI a las unidades de negocio; de hecho, en algunos casos, se puede asumir lo opuesto. Por
ejemplo, como las personas de la unidad de negocio no tienen experiencia en desarrollar aplicaciones,
es ms probable que ellas escriban cdigo ineficiente que puede usar ms ancho de banda y, por lo tanto,
Derivar
polticas
de nivel
inferior de delas
polticas corporativas (un mtodo de arriba abajo)
aumentar las
necesidades
de comunicaciones
datos.
ayuda a asegurar consistencia en toda la organizacin y consistencia con otras polticas. El mtodo
de abajo arriba para el desarrollo de las polticas operativas se deriva como resultado de la evaluacin del
riesgo. Un mtodo de arriba abajo por s mismo no asegura que las polticas sean revisadas.
El entrenamiento cruzado es un proceso de entrenar ms de una persona para que realice un trabajo o
procedimiento especfico. Esta prctica ayuda a reducir la dependencia de una sola persona y asiste en la
planeacin de la sucesin. Esto provee el respaldo de personal en el caso de una ausencia y, de ese modo,
provee la continuidad de las operaciones. Sin embargo, al usar este mtodo, es prudente hacer evaluar
primero
el riesgo
de cualquier persona
que conozca
todas
partes de un
sistemaely las
exposiciones
Los controles
compensatorios
son controles
internos
quelas pretenden
reducir
riesgo
de una
Cul de los controles siguientes buscara un auditor en un entorno en el cual las funciones no pueden potenciales relacionadas. El entrenamiento cruzado reduce los riesgos resueltos en las opciones A, B y D.
debilidad de control existente o potencial que puede surgir cuando las funciones no pueden ser
ser segregadas de manera apropiada?
segregadas de manera apropiada. Los controles que se superponen son dos controles que tratan el
mismo objetivo o exposicin de control. Como los controles primarios no se pueden alcanzar cuando las
funciones no pueden ser o no estn segregadas de manera apropiada, es difcil instalar controles que se
Las
leyes deLosprivacidad
prohben elelinterfaz
flujo entre
transfronterizo
de informacin
superponen.
controles de que
lmite establecen
el usuario potencial
de un sistemaidentificable
de cmputo
Cul de lo siguiente es MAS probable que indique que un depsito de datos de cliente debe
permanecer en el local en lugar de ser extrado
personalmente
hara imposible
un depsito
de datos
que contenga
informacin
decontroles
clientes en
y el sistema de cmputo
mismo, y ubicar
son controles
que se basan
en la persona,
no en la
funcin. Los
de
(outsourced) de una operacin exterior (offshore)?
otro
pas.
Las
diferencias
de
zona
horaria
y
los
costos
ms
elevados
de
las
telecomunicaciones
son
ms
acceso para los recursos estn basados en las personas, no en las funciones.
manejables. El desarrollo de software requiere tpicamente especificaciones ms detalladas cuando se trata de
operaciones offshore.
Como el outsourcer compartir un porcentaje de los ahorros logrados, las bonificaciones por cumplimiento
Para minimizar los costos y mejorar los niveles de servicio, un outsourcer debe buscar cul de las
en compartir las ganancias proveen un incentive financiero para ir para superar los trminos
siguientes clusulas de contrato?
establecidos del contrato y pueden conducir a ahorros en los costos para el cliente.
Las
frecuencias de las actualizaciones y las penalizaciones por incumplimiento slo estimularan al outsourcer
a que cumpla con los requerimientos mnimos. De manera similar, adicionar recargos a la medida de los
Cuando una organizacin est seleccionando (outsourcing) su funcin de seguridad La
responsabilidad
no puede
ser transferida
a tercerosadicionales
ajenos. que
Laspodran
opciones
B, C
y D
costos
variables no estimulara
al outsourcer
a buscar eficiencias
beneficiar
al cliente.
de informacin, cul de lo siguiente debe ser conservado en la organizacin?
pueden ser efectuadas por entidades externas mientras la responsabilidad contine dentro de la
organizacin.
Como la ingeniera social se basa en el engao del usuario, la mejor contramedida o defensa
es un programa de conciencia de la seguridad. Las otras opciones no estn enfocadas al usuario.
II
Cul de los siguientes reduce el impacto potencial de los ataques de ingeniera social?
II
Cul de los siguientes provee la mejor evidencia de la adecuacin de un programa de conciencia de La adecuacin del contenido de conciencia de la seguridad puede evaluarse mejor determinando si el mismo es
revisado y comparado peridicamente con las mejores prcticas de la industria. Las opciones A, B y C proveen
la seguridad?
medidas para medir diversos aspectos de un programa de conciencia de la seguridad, pero no ayudan a
evaluar el contenido.
II
II
II
II
II
II
II
II
II

orientada al tiempo y a los proyectos, pero tambin debe resolver y ayudar a determinar prioridades
para satisfacer las necesidades del negocio. Los planes de largo y corto plazo deberan ser consistentes con los
planes ms amplios de la organizacin para alcanzar sus metas. La opcin D representa un objetivo de
La
alta gerencia
entre
los imperativos
del negocio
y la tecnologa
es una
mejor
prctica
alineamiento
negocio
que se media
pretende
para
enfocar la direccin
general
del negocio
y sera
de ese
mododeuna
parte del
Cul de las siguientes mejores prcticas de gobierno de TI mejora el alineamiento estratgico?
estratgico
de TI.
riesgos del Las
proveedor
y del estn
socio orientadas
que estn
siendo manejados
es los
una
mejor
plan estratgico
de Los
la organizacin.
otras opciones
a proyectos
y no resuelven
objetivos
prctica
del
manejo
del
riesgo.
Una
base
de
conocimientos
de
los
clientes,
productos,
mercados
del negocio.
y procesos que est instalada es una mejor prctica de entrega de valor de TI. Una infraestructura que es
suministrada para facilitar que se cree y se comparta informacin de negocio es una mejor prctica de entrega
Requisitos contractuales son una de las fuentes que deberan ser consultadas para identificar los
Cul de lo siguiente es la MEJOR fuente de informacin para que la administracin use como
de valor y manejo del riesgo de TI.
requerimientos para la administracin de activos de informacin. Las mejores prcticas de
una ayuda en la identificacin de activos que estn sujetos a las leyes y reglamentaciones?
Vendedor proveen una base para evaluar qu grado de competitividad tiene una empresa y los
resmenes de incidentes de seguridad son una fuente para determinar the vulnerabilidades asociadas con
la infraestructura de TI. CERT (www.cert.org) es una fuente de informacin para determinar las
Las
leyes de dentro
privacidad
que prohben
Cul de lo siguiente es MAS probable que indique que un depsito de datos de cliente debe
vulnerabilidades
de la infraestructura
de TI.el flujo transfronterizo de informacin identificable
permanecer en el local en lugar de ser extrado
personalmente hara imposible ubicar un depsito de datos que contenga informacin de clientes en
(outsourced) de una operacin exterior (offshore)?
otro pas. Las diferencias de zona horaria y los costos ms elevados de las telecomunicaciones son ms
manejables. El desarrollo de software requiere tpicamente especificaciones ms detalladas cuando se trata de
operaciones offshore.
Una investigacin de los antecedentes es el mtodo primario para asegurar la integridad de un
prospectivo miembro del personal. Las referencias son importantes y sera necesario verificarlas, pero
no son tan fiables como la investigacin de los antecedentes. La fianza est referenciando al cumplimiento
de la debida diligencia, no a la integridad, y las calificaciones/habilidades indicadas en un rsum/curriculum
vitae/hoja
de vida,
pueden
no ser correctas.
Los mtodos
de anlisis
proveen
un mecanismo, por el cual la gerencia de SI puede determinar cundo y si las
Cul de lo siguiente proveera un mecanismo por el cual la gerencia de SI puede
determinar cundo, y si, las actividades de la empresa se han desviado de los niveles planeados, o
incluyen los presupuestos de SI, la planeacin de la capacidad y del crecimiento, los estndares
de los esperados?
Los
controles
compensatorios
son difieren
controles
internos de
que
pretendendelreducir
el riesgo
mejorados.
Los principios
de gerencia
dependiendo
la naturaleza
departamento
de SI. de
Ellosuna
se
Cul de los controles siguientes buscara un auditor en un entorno en el cual las funciones no
debilidad
de
control
existente
o
potencial
que
puede
surgir
cuando
las
funciones
no
pueden
ser
concentran en reas tales como la gente, el cambio, los procesos, la seguridad, etc. Los estndares /puntos de
pueden ser segregadas de manera apropiada?
segregadas
de lamanera
apropiada.
Los medio
controlesde que
se superponen
son dedosdesempeo
controles que
tratan por
el
referencia de
industria
proveen un
determinar
el nivel
provisto
mismo
objetivo
o
exposicin
de
control.
Como
los
controles
primarios
no
se
pueden
alcanzar
cuando
las
entornos similares de instalaciones de procesamiento de informacin. Estos estndares, o
funciones
pueden ser
o no estn
segregadas
de manera
apropiada,
es difcil
instalar controles
que se
estadsticas no
de referencia
se pueden
obtener
de los grupos
de vendedores
usuarios,
publicaciones
de la industria
La
planeacin
estratgica
pone
en
movimiento
objetivos
corporativos
o
departamentales
Tanto
los
superponen.
Los
controles
de
lmite
establecen
el
interfaz
entre
el
usuario
potencial
de
un
sistema
de
cmputo
y asociaciones profesionales.
planes
estratgicos
a largo
como a que
corto
plazo
sernoconsistentes
con Los
los controles
planes ms
y el sistema
de cmputo
mismo,plazo
y son controles
se basan
endeberan
la persona,
en la funcin.
de
amplios
de la
y los
objetivos
alcanzar
estas metas. La respuesta A es incorrecta
acceso para
losorganizacin
recursos estn
basados
en del
las negocio
personas,para
no en
las funciones.
ya que la gerencia de lnea prepar los planes.
Sin una poltica que defina quin tiene la responsabilidad de otorgar acceso a sistemas especficos,
hay un mayor riesgo de que uno pueda obtener (se le pueda dar a uno) acceso al sistema cuando
de hecho esa persona no debera tener autorizacin. La asignacin de autoridad para otorgar acceso a
respaldados.
Un proceso de medicin del desempeo/performancia de TI puede usarse para optimizar el

desempeo/performancia. Recopilar datos de desempeo/performancia es una etapa del proceso de medicin de TI
La asimilacin de la estructura y la intencin de una poltica de seguridad escrita por parte de los usuarios de
y se usara para evaluar el desempeo/performancia contra lneas base de desempeo/performancia establecidas
los
sistemas es crtico para la implementacin exitosa y el mantenimiento de la poltica de seguridad.
anteriormente.
Uno puede tener un buen sistema de contrasea, pero si los usuarios del sistema mantienen
contraseas escritas en su mesa, el sistema de contrasea tiene poco valor. El soporte y dedicacin
de la gerencia es sin duda importante, pero para una implementacin exitosa y un mantenimiento de
la
de mitigan
seguridad,
la educacin
de los
usuarios desobre
la importancia
seguridad
Lospoltica
riesgos se
implementando
prcticas
apropiadas
seguridad
y de control.deEl la
seguro
es un es de
suprema
importancia.
La
estricta
implementacin,
monitoreo
y
ejecucin
de
reglas
por
parte
del
funcionario
de
mecanismo para transferir el riesgo. La auditora y la certificacin son mecanismos de aseguramiento del riesgo,
seguridad
a travs
de son
un mecanismos
software de de
control
de acceso
y la disposicin de acciones punitivas por la
y los contratos
y SLAs
asignacin
de riesgo.
violacin de las reglas de seguridad tambin se requiere conjuntamente con la educacin del usuario sobre
la importancia de la seguridad.
La identificacin de las aplicaciones requeridas en toda la red debe ser identificada primero. Despus de la
identificacin, dependiendo de la ubicacin fsica de estas aplicaciones en la red y el modelo de red,
la persona a cargo podr entender la necesidad y las posibles formas de controlar el acceso a
estas aplicaciones. Identificar los mtodos para proteger contra las vulnerabilidades identificadas y
su anlisis comparativo costo-beneficio es el tercer paso. Habiendo identificado las aplicaciones, el
El comit de direccin de SI tpicamente sirve como una junta general de revisin para los principales proyectos
siguiente paso es identificar las vulnerabilidades (debilidades) asociadas con las aplicaciones de red. El
de SI y no debe involucrarse en operaciones de rutina, por lo tanto, una de sus funciones es aprobar y
siguiente paso es analizar el trfico de aplicacin y crear una matriz que muestre cmo cada tipo de trfico ser
monitorear los principales proyectos, la situacin de los planes y presupuestos de SI. El control de cambio de
protegido.
vendedor es un aspecto de outsourcing y debe ser monitoreado por la gerencia de SI. Asegurar una separacin de
funciones dentro del entorno de procesamiento de la informacin es una responsabilidad de la gerencia de SI.
Una
poltica
sana
de seguridad
ms probable
esboce deunlasprograma
de respuesta
para
El enlace
entre
el departamento
de de
SI ySI
los es
usuarios
finales es que
una funcin
partes individuales
y no de
un
manejar
las
intrusiones
sospechosas.
Los
programas
de
correccin,
deteccin
y
monitoreo
son
todos
comit.
aspectos de seguridad de informacin, pero probablemente no sern incluidos en una declaracin de poltica de
seguridad de SI.
II

II
Cul de los siguientes es MS crtico para la implementacin exitosa y el mantenimiento de una

poltica de seguridad?
II
Cul de los siguientes es un mecanismo para mitigar los riesgos?
II
Cul de los siguientes es un paso inicial para crear una poltica de firewall?
II
II
II
Cul de los siguientes provee la mejor evidencia de la adecuacin de un programa de conciencia de la La adecuacin del contenido de conciencia de la seguridad puede evaluarse mejor determinando si el mismo es
revisado y comparado peridicamente con las mejores prcticas de la industria. Las opciones A, B y C proveen
seguridad?
medidas para medir diversos aspectos de un programa de conciencia de la seguridad, pero no ayudan a evaluar
el contenido.
II
Cul de los siguientes reduce el impacto potencial de los ataques de ingeniera social?
Como la ingeniera social se basa en el engao del usuario, la mejor contramedida o defensa es
un programa de conciencia de la seguridad. Las otras opciones no estn enfocadas al usuario.
II
La poltica de seguridad provee la estructura amplia de la seguridad, como ha sido dispuesta y aprobada por
la alta gerencia. Incluye una definicin de las personas autorizadas para otorgar acceso y la base para otorgarlo.
Las opciones A, B y C estn ms detalladas que lo que debera incluirse en una poltica.
II
II
II
II
II

ejemplos de controles compensatorios son las bitcoras de transacciones, las pruebas de razonabilidad, las
revisiones independientes y las pistas de auditora tales como bitcoras de consola, bitcoras de biblioteca y la
fecha de contabilidad del trabajo. Las verificaciones de secuencia y los dgitos de verificacin
Es apropiado que un auditor de SI de una compaa que est considerando hacer outsourcing de su La
responsabilidad
primaria
control
de archivo de
datos. del auditor de SI es asegurar que los activos de la compaa estn siendo
procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada proveedor? salvaguardados. Esto es verdad incluso si los activos no residen en las premisas inmediatas. Las oficinas
El departamento de IS debe considerar especficamente la forma en que se asignan los recursos en

Qu es lo que un auditor de sistemas considerara MS relevante para la planificacin de corto plazo
el corto plazo. Las inversiones en TI necesitan estar alineadas con las estrategias principales de la
durante la planificacin de corto plazo para el departamento de IS.
Un auditor de SI debera esperar que cul de los siguientes elementos sean incluidos en
que estn siendo contratadas. Las referencias de otros clientes proveeran una revisin y verificacin
la solicitud de propuesta (RFP) cuando SI est adquiriendo servicios de un proveedor de
independiente, externa, de procedimientos y procesos que sigue el ISP—aspectos que seran
de preocupacin para el auditor de SI. Verificar las referencias es un medio de obtener una verificacin
independiente de que el vendedor puede efectuar los servicios que dice que puede. Un acuerdo de
La
integracin deseSIrelaciona
y del personal
los proyectos
es un aspecto
operativo
y debe ser considerado
mantenimiento
ms de
connegocios
equiposenque
con servicios,
y un plan
de conversin,
aunque es
mientras
se revisa
el plan
de cortoque
plazo.
Un plan estratgico
marco los
paraservicios
el plan de
corto
de SI.
importante,
es menos
importante
la verificacin
de que elproveera
ISP puedeunproveer
que
ellosplazo
proponen.
Las opciones B, C y D son reas cubiertas por un plan estratgico.
II
Antes de implementar un cuadro de mandos o marcador balanceado (balanced scorecard) de TI, una
organizacin debe:
II
Como resultado del gobierno de seguridad de informacin, la alineacin estratgica dispone:
II
Con respecto al outsourcing de servicios de TI, cul de las siguientes condiciones debera ser de
MAYOR preocupacin para un auditor de
SI?
II
Cul de lo siguiente es el MEJOR criterio de desempeo para evaluar la adecuacin del

entrenamiento de conocimiento de seguridad de una organizacin?
Se requiere una definicin de indicadores clave de desempeo antes de implementar un cuadro de mandos o
marcador balanceado (balanced scorecard) de
TI. Las opciones A, C y D son objetivos.
El gobierno de seguridad de informacin, cuando est debidamente implementado, debe proveer

cuatro resultados
bsicos. Estos son
alineamiento estratgico, entrega de valor, manejo del riesgo y
medida del desempeo. La alineacin estratgica provee datos de entrada (input) para los requerimientos de
seguridad impulsados por los requerimientos de la empresa. La entrega de valor provee un conjunto estndar de
prcticas de seguridad, i.e., seguridad bsica que sigue las mejores prcticas o soluciones institucionalizadas o de
Las actividades centrales de una organizacin generalmente no deberan ser sometidas a outsourcing
materia prima. El manejo del riesgo provee un entendimiento de la exposicin al riesgo.
porque son lo que la organizacin hace mejor. Un auditor que observa eso debera preocuparse. El
auditor no debera preocuparse de las otras condiciones porque la especificacin de renegociacin peridica
en el contrato de outsourcing es una mejor prctica. No se puede esperar que los contratos de outsourcing cubran
toda accin y detalle esperado de las partes involucradas y multi-sourcing es una forma aceptable de reducir el
La inclusin en descripciones de puestos de trabajo de responsabilidades de seguridad es una forma de
riesgo.
entrenamiento de seguridad y ayuda a asegurar que el personal y la administracin estn en conocimiento de sus
funciones con respecto a la seguridad de informacin. Las otras tres opciones no son criterios para evaluar el
entrenamiento de conocimiento de la seguridad. Conocimiento es un criterio para evaluar la importancia que la
alta gerencia otorga a los activos de informacin y a su proteccin. Financiamiento es un criterio que ayuda
II
II
II
II
II
II
Cuando efecta una revisin de la estructura de un sistema de transferencia electrnica deEn el proceso de transferencia de fondos, cuando el esquema de procesamiento est centralizado en
fondos (EFT), un auditor de SI observa que la infraestructura tecnolgica est basada enun pas diferente, podra haber problemas legales de jurisdiccin que pudieran afectar el derecho a
un esquema centralizado de procesamiento que ha sido asignado (outsourced) a un proveedorrealizar una revisin en el otro pas. Las otras opciones, aunque posibles, no son tan relevantes
en otro pas. Basado en esta informacin, cul de las siguientes conclusiones debe ser la PRINCIPALcomo el problema de jurisdiccin legal.
preocupacin del auditor de SI?
Slo revisar los registros de transacciones y de aplicacin directamente resuelve la amenaza planteada por la
Cuando existe preocupacin por la segregacin de funciones entre el personal de soporte
segregacin deficiente de funciones. La revisin es un medio de detector el comportamiento inapropiado
y los usuarios finales, cul sera un control compensatorio adecuado?
y tambin disuade de uso inapropiado, porque las personas que pueden de otro modo tentarse de
explotar la situacin estn concientes de la probabilidad de ser atrapados. La segregacin inadecuada de funciones
es ms probable que sea explotada a travs del acceso lgico a los datos y recursos de computacin ms
bien
acceso fsico.
La debe
opcinincluir
C es una
un control
til para asegurar
que ely de
personal
de de
TI es
de
planqueestratgico
de TI
clara articulacin
de la misin
la visin
TI.digno
El plan
Cuando revisa el proceso de planeacin estratgica de TI, un auditor de SI debe asegurarse de que el El
confianza
y
competente
pero
no
resuelve
directamente
la
falta
de
una
segregacin
ptima
de
plan:
no necesita ocuparse de la tecnologa, los controles operativos o las prcticas de administracin de
funciones. La opcin D acta para prevenir que usuarios no autorizados ganen acceso al sistema, pero el
proyectos.
problema con una falta de segregacin de funciones es ms el mal uso (deliberado o inadvertido) de los
privilegios de acceso que han sido otorgados oficialmente.
Cuando se desarrolla un programa de administracin de riesgos, la PRIMERA actividad que se debe La identificacin de los activos a ser protegidos es el primer paso en el desarrollo de un programa de
administracin de riesgos. Un listado de las amenazas que pueden afectar el desempeo de estos activos y el
realizar es:
anlisis de criticalidad son pasos posteriores en el proceso. La clasificacin de datos se requiere para
definir los controles de acceso, y en el anlisis de la criticalidad.
Cuando se ha diseado una poltica de seguridad de informacin, lo MS importante es que la poltica
Cuando se revisan las estrategias de SI, el auditor de SI puede determinar MEJOR si la estrategia de SI Determinar
si el plan
de SI es consistente con la estrategia de la gerencia relaciona la planificacin de SI/TI con los
pero no asegurar
su divulgacin.
planes del negocio. Las opciones A, C y D
son mtodos efectivos para determinar si los planes de SI estn en armona con los objetivos del negocio y con las
estrategias de la organizacin.
II
II
Cuando una organizacin est seleccionando (outsourcing) su funcin de seguridad

informacin, cul de lo siguiente debe ser conservado en la organizacin?
II
Dar responsabilidad a las unidades del negocio sobre el desarrollo de aplicaciones conducir MUY
probablemente a:
a un empleado designado, sin embargo, esto debe efectuarse despus de implementar la opcin D.
Se debe hacer copia de respaldo de todo el trabajo del empleado despedido, y se debe notificar a los
deLa
responsabilidad
no puede
ser transferida
terceros
Lasenopciones
B, C y D
empleados
de la terminacin
del empleado,
pero esto noadebe
precederajenos.
a la accin
la opcin D.
pueden ser efectuadas por entidades externas mientras la responsabilidad contine dentro de la
organizacin.
Al desarrollar aplicaciones en las unidades de negocio, los usuarios ahora a cargo de las aplicaciones podran
evadir los controles. Las opciones A, C y D no estn relacionadas con, ni puede asumirse que resulten de, mover
las funciones de SI a las unidades de negocio; de hecho, en algunos casos, se puede asumir lo opuesto. Por
ejemplo, como las personas de la unidad de negocio no tienen experiencia en desarrollar aplicaciones,
es ms probable que ellas escriban cdigo ineficiente que puede usar ms ancho de banda y, por lo tanto,
II
De las funciones siguientes, cul es la funcin MS importante que debe realizar la administracin
II
De lo siguiente, el elemento MS importante para la implementacin exitosa del gobierno de TI es:
II
II
II
II
II
En un ambiente de outsourcing, la compaa depende del desempeo del proveedor del servicio. Por esta razn,
es crtico que se monitoree el desempeo del proveedor de outsourcing para asegurar que ste preste a la
desempeo del proveedor de outsourcing, mientras que los honorarios de renegociacin son por lo general una
El
objetivo
clave
de un
programa
devez.
gobierno de TI es dar soporte al negocio; de ese modo, es necesaria la
actividad
que
se lleva
a cabo
una sola
identificacin de estrategias organizacionales para asegurar
la alineacin entre TI
y el gobierno
corporativo. Sin identificacin de estrategias organizacionales, las opciones restantes, an si
fueran implementadas, seran inefectivas.
Desde una perspectiva de control, la descripcin de un trabajo debe establecer responsabilidad y

deber de reportar/imputabilidad (accountability). Esto ayudar a asegurar que se d a los usuarios acceso al
sistema en conformidad con las responsabilidades definidas de su trabajo.Las otras opciones no estn
directamente relacionadas con los controles. Proveer instrucciones sobre cmo hacer el trabajo y definir la
autoridad, resuelve los aspectos gerenciales y de procedimiento del trabajo. Es importante que las
Controles
compensatorios
son controles
que pretenden
reduciry el
riesgo de disponibles
una debilidadpor
de control
existente
o
descripciones
del trabajo estn
actualizadas,
documentadas
fcilmente
el empleado,
pero
Durante el curso de una auditora, un auditor de SI observa que las funciones no
potencial
cuando
las
funciones
no
pueden
ser
correctamente
segregadas.
Los
controles
traslapados
se
estn debidamente segregadas. En una circunstancia semejante, el Auditor de SI debera buscar: esto por s solo no es un control. La comunicacin de las expectativas especficas de la gerencia
complementan
entre s y complementan
controles
existentes
pero no resuelven ylos
riesgos
por el desempeo/performancia
del trabajo los
describe
el estndar
de desempeo/performancia
no incluira
asociados
con
una
segregacin
inadecuada
de
las
funciones
y
no
pueden
ser
usados
en
situaciones
donde
las
necesariamente los controles.
funciones no pueden ser segregadas. Controles preventivos son controles internos implementados para
Los
resultados
financieros
han sido
tradicionalmente
la nicaexistir
medidaindependientemente
general de desempeo.
cuadro
El cuadro de mandos o marcador balanceado (balanced scorecard) de TI es una
reducir
el riesgo
de debilidad
de los
controles y deben
de los El
controles
de
mandos
o
marcador
balanceado
de
TI
(BSC)
es
una
herramienta
de
gobierno
del
negocio
de de
TI
herramienta de gobierno del negocio que est destinada a monitorear los indicadores de
compensatorios. Los controles de acceso lgico aseguran la integridad, la confidencialidad y la disponibilidad
dirigida
a monitorear los indicadores de evaluacin del desempeo de TI adems de los
evaluacin del desempeo (performance) de TI aparte de:
la
informacin.
resultados financieros. El BSC de TI considera otros factores clave de xito, tales como la satisfaccin del cliente,
la capacidad de innovacin y el procesamiento.
tambin funciona dentro de la amplia poltica de seguridad definida por la junta directiva. El administrador
de la seguridad es responsable de implementar, monitorear y hacer cumplir las reglas de seguridad que la
existir
un comit
de seguimiento para asegurar que las estrategias de TI soporten las metas de la
gerencia
ha establecido
y autorizado.
El efecto MS probable de la falta de participacin de la alta gerencia en la planeacin estratgica de Debe
TI es:
II
El gobierno de TI es PRIMARIAMENTE responsabilidad del:
II
El gobierno efectivo de TI asegurar que el plan de TI sea consistente con el:
El gobierno de TI es primariamente responsabilidad de los ejecutivos y de los accionistas

(representados por la junta directiva [board of directors.]) El director general es instrumental para
implementar el gobierno de TI en conformidad con las instrucciones de la junta directiva. El comit de
seguimiento de TI monitorea y facilita el despliegue de los recursos de TI para proyectos especficos en soporte
de los planes de negocio. El comit de auditora reporta a la junta directiva y debe monitorear la implementacin
Para
TI eficazmente,
TI y el negocio deben moverse en la misma direccin, requiriendo que
de las gobernar
recomendaciones
de auditora.
los planes de TI estn alineados con los planes de negocio de una organizacin. Los planes de auditora
y de inversin no forman parte del plan de TI y el plan de seguridad debe ser al nivel corporativo.
TI. Revisar si las polticas estn disponibles para todos es un objetivo, pero la distribucin no asegura
el cumplimiento. La disponibilidad de organigramas con descripciones de las funciones y segregacin de
las funciones,
podra
incluirse
la revisin,
pero no
son el por
objetivo
primario
de para
una una
auditora
Una
declaracin de
poltica
refleja laenintencin
y el respaldo
brindado
la gerencia
ejecutiva
de
las
polticas
de
seguridad.
II
II
II
El resultado (output) del proceso de administracin de riesgos es un input para hacer:
II
En una organizacin donde se ha definido una lnea base (baseline) de seguridad de TI el auditor de SI El auditor debe primero evaluar la definicin del nivel mnimo de lnea base para asegurar
debe PRIMERO asegurar:
la idoneidad de los controles. La documentacin, la implementacin y el cumplimiento son otros
pasos adicionales.
II
El proceso de administracin del riesgo trata sobre la toma de decisiones relacionadas con seguridad
especfica, tal como el nivel de riesgo aceptable. Las opciones A, B y D no son las metas en ltima instancia
del proceso de administracin del riesgo.
En una organizacin, las responsabilidades de seguridad de TI estn claramente asignadas yLas juntas directivas y la gerencia ejecutiva pueden usar el modelo de madurez de gobierno de seguridad de
ejecutadas y se efecta de manera consistente un anlisis del riesgo de la seguridad de TI y delinformacin para establecer clasificaciones para la seguridad en sus organizaciones. Los rangos son
impacto. Qu nivel de clasificacin representa esto en el modelo de madurez de gobierno deinexistentes, iniciales, repetibles, definidos, manejados y optimizados. Cuando las responsabilidades de la
seguridad de TI estn claramente asignadas y ejecutadas y se realiza de manera consistente un anlisis del
seguridad de informacin?
riesgo y del impacto sobre la seguridad de TI, se dice que est “gestionado y que es medible.”
II
Establecer el nivel de riesgo aceptable es responsabilidad de:
La alta gerencia debera establecer el nivel de riesgo aceptable, ya que ellos son los responsables en ltima
instancia o los responsables finales de la operacin efectiva y eficiente de la organizacin. Las opciones A, C y
D deberan actuar como asesores de la alta gerencia para determinar un nivel aceptable de riesgo.
II
La administracin de una organizacin ha decidido establecer un programa de conocimiento de la

seguridad. Cul de los siguientes es MS
probable que sea parte del programa?
Utilizar un sistema de deteccin de intrusos para reportar sobre los incidentes que ocurren es una
implementacin de un programa de seguridad y no es efectivo para establecer un programa de
conocimiento de la seguridad. Las opciones B y C no resuelven el conocimiento. El entrenamiento es la nica
opcin que est dirigida al conocimiento de la seguridad.
II
La evaluacin de los riesgos de TI se logra MEJOR:
Para analizar los riesgos de TI, es necesario evaluar las amenazas y vulnerabilidades usando mtodos cualitativos
o cuantitativos de evaluacin del riesgo. Las opciones B, C y D son potencialmente insumos tiles para el
proceso de evaluacin del riesgo, pero por s mismas no son suficientes. Basar una evaluacin en las
prdidas pasadas no reflejar de manera adecuada los cambios inevitables a los activos, proyectos,
controles de TI y al entorno estratgico de la empresa. Probablemente tambin hay problemas
con el alcance y la calidad de los datos de prdida disponibles a ser evaluados. Las
organizaciones comparables tendrn diferencias en sus activos de TI, entorno de control y
II
II
II
(goodwill) para la organizacin. Una definicin sucinta del riesgo es suministrada por las Directivas para
la Gerencia de Seguridad de TI publicadas por la Organizacin Internacional para la Estandarizacin
El establecimiento de perodos contables es una de las actividades crticas de la funcin de finanzas. Otorgar
La funcin de establecimiento del libro mayor/mayor general (general ledger) en un(ISO), que define el riesgo como el “potencial de que una cierta amenaza se aproveche
paquete empresarial (ERP) permite fijar perodos contables. El acceso a esta funcin ha sidode la vulnerabilidad de un activo o de un grupo de activos para causar prdida o dao a los
permitido a los usuarios en finanzas, almacn e ingreso de rdenes. La razn MS probable paraactivos.” Los diversos elementos de la definicin son vulnerabilidad, amenaza, activo e impacto.
contables
deberan ser adecuada
cambiados
intervalos
regulares,
sino
que vulnerabilidad.
se deberan establecer de manera
La falta de no
una funcionalidad
de aseguridad
en este
contexto
es una
dicho amplio acceso es:
necesario, esto debera ser hecho por alguien en el rea de finanzas o de contabilidad. La necesidad de crear
Los planes estratgicos proveen la base para asegurar que la empresa cumpla sus metas y
funcin que debera ser realizada por el personal de almacn o de ingreso de rdenes.
II
II
La ventaja de un mtodo de abajo hacia arriba para el desarrollo de polticas organizativas es que las
polticas:
II
entender:
II
Los riesgos asociados con recopilar evidencia electrnica es MS probable que se reduzcan, en el
caso de un e-mail, por una:
II
II
El cambio requiere que se implementen y ejecuten buenos procesos de administracin de

cambios. Hacer un outsourcing a la funcin de SI no est directamente relacionado con la
para cambiar de trabajo con frecuencia. A pesar que es importante satisfacer los requerimientos de los usuarios,
ello no est directamente relacionado con la velocidad de cambio tecnolgico en el entorno de SI.
se derivan y se implementan como el resultado de evaluaciones de riesgo. Las polticas a nivel de la empresa
se desarrollan posteriormente con base en una sntesis de las polticas operativas existentes. Las opciones A, C y
Un
objetivo de control de TI se define como la declaracin del resultado deseado o el propsito a ser alcanzado
organizacin.
implementando procedimientos de control en una actividad particular de TI. Ellos proveen los objetivos
Con una poltica de registros de e-mail bien archivados, es posible el acceso a o la recuperacin de registros de emails especficos, sin revelar otros registros de e-mail confidenciales. Las polticas de seguridad y/o
polticas de auditora no resolveran la eficiencia de recuperacin de registros, y destruir e-mails
Mientras realiza una auditora de un proveedor de servicio, el Auditor de SI observa que elMuchos pases han establecido reglamentaciones para proteger la confidencialidad de informacin que
proveedor de servicio ha sometido a outsourcing una parte del trabajo a otro proveedor. Como else mantiene en sus pases y/o que es intercambiada con otros pases. Donde el proveedor de servicio ha
trabajo implica el uso de informacin confidencial, la preocupacin PRIMARIA del Auditor de SIsometido a outsourcing una parte de sus servicios a otro proveedor de servicios, hay un riesgo potencial de
que la confidencialidad de la informacin quede comprometida. Las opciones B y C podran ser
debe ser que:
preocupaciones pero no estn relacionadas con asegurar la confidencialidad de la informacin. No hay razn
Las vacaciones requeridas de una semana o ms de duracin en la que alguien que no sea el empleado
por la que el Auditor de SI debera preocuparse por la opcin D.
regular realice la funcin del puesto de trabajo es a menudo obligatoria para las posiciones importantes.
semana o ms para:
Esto reduce la oportunidad de cometer actos indebidos o ilegales, y durante este tiempo puede
ser posible descubrir cualquier actividad fraudulenta que estuviera ocurriendo. Las opciones A, C
II
II
II
II
II
II
II
II
II
organizacionales
y luego
revisar
el implica
acatamiento
de estas los
polticas,
y procedimientos
especficos.en una
La arquitectura de
empresa
(EA)
documentar
activosestndares
y procesos
de TI de la organizacin
Para asistir a una organizacin en la planeacin de las inversiones de TI, el Auditor de SI debera
forma estructurada para facilitar la comprensin, administrar y planear las inversiones de TI. Ello
recomendar el uso de:
implica tanto un estado corriente como una representacin de un futuro estado optimizado. Al
tratar de completar una EA, las organizaciones pueden resolver el problema ya sea desde una
perspectiva de tecnologa o desde una perspectiva de proceso de negocio. Administracin de
scorecard
balanceado
TI inversin
provee eldepuente
entredelos
de TI y lospara
objetivos
negocio
Proyectos
no es
considerarde la
aspectos
TI,objetivos
es una herramienta
ayudardel
a entregar
Para ayudar a la administracin a alcanzar la alineacin entre TI y el negocio, un auditor de SI debera Un
suplementando
la evaluacin
financiera
tradicional
medidas para
evaluar ladesatisfaccin
recomendar el uso de:
proyectos. La arquitectura
orientada
a objeto
es unacon
metodologa
de desarrollo
software y del
no cliente,
asiste enlos
la
procesos
internos
y
la
capacidad
de
innovar.
La
autoevaluacin
del
control,
el
anlisis
del
impacto
sobre
el
planeacin de la de TI y la planeacin tctica es relevante slo despus de que se han tomado decisiones de
negocio
inversinydelaTI reingeniera
de alto nivel.del proceso de negocio son insuficientes para alinear a TI con los objetivos
organizacionales.
The scorecard balanceado de TI es una herramienta que provee el puente entre los objetivos de TI y los objetivos
Para lograr entender la efectividad de la planeacin y la administracin de inversiones en activos de TI
del negocio complementando la evaluacin financiera tradicional con medidas para evaluar la satisfaccin del
de una organizacin, un auditor de SI
cliente, los procesos internos y la capacidad de innovar. Un modelo de datos de empresa es un documento que
debera revisar:
define la estructura de datos de una organizacin y la forma en que se interrelacionan los datos. Es til pero no
provee informacin sobre las inversiones. La estructura organizativa de TI provee una visin general de las
relaciones funcionales y de subordinacin en una entidad de TI. Los estados financieros histricos no
Como
un planeacin
porcentaje dey loscarecen
ahorrosdelogrados,
las bonificaciones
por cumplimiento
proveenel outsourcer
informacincompartir
sobre la
suficiente
detalle para permitir
entender
Para minimizar los costos y mejorar los niveles de servicio, un outsourcer debe buscar cul de las
en
compartir
las
ganancias
proveen
un
incentive
financiero
para
ir
para
superar
los
trminos
siguientes clusulas de contrato?
plenamente las actividades de la administracin respecto a los activos de TI. Los costos pasados
establecidos
contrato y elpueden
a ahorros
los ejemplo,
costos para
el cliente.
Las
no reflejan del
necesariamente
valor conducir
y los activos,
comoen por
los datos
no estn
frecuencias
las libros
actualizaciones
representadosde
en los
de cuentas.y las penalizaciones por incumplimiento slo estimularan al outsourcer
a que cumpla con los requerimientos mnimos. De manera similar, adicionar recargos a la medida de los
es la estrategia que dispone la definicin e implementacin de los controles para resolver
Para resolver el riesgo de falta del personal de operaciones para efectuar la copia de Mitigacin
costos variables no estimulara al outsourcer a buscar eficiencias adicionales que podran beneficiar al cliente.
respaldo diaria, la administracin requiere que el administrador de sistemas firme la salida en el riesgo descrito. Prevencin es una estrategia que dispone no implementar ciertas actividades o
procesos que incurriran en mayor riesgo. Transferencia es la estrategia que dispone compartir el
la copia de respaldo diaria. Este es un ejemplo de riesgo:
riesgo con socios o tomar cobertura de seguro. Aceptacin es una estrategia que dispone el reconocimiento
formal de la existencia de un riesgo y el monitoreo de ese riesgo.
delinear cmo se alcanzara cada uno de los objetivos. La opcin D podra ser parte del plan general pero se
requerira solamente si se necesitara hardware o software para lograr las metas organizativas.
Como los registros de actividad de la base de datos registran actividades realizadas por el
Un administrador de base de datos est realizando las siguientes actividades, cul de stas debera ser
administrador de la base de datos, su eliminacin debera ser efectuada por una persona que no
realizada por una persona diferente?
sea el administrador de la base de datos. Este es un control compensatorio para ayudar a asegurar que
una segregacin apropiada de las funciones est asociada con la funcin del administrador de la base de
datos. Un administrador de base de datos debera realizar las otras actividades como parte de las operaciones
Un administrador de LAN no debera tener responsabilidades de programacin pero puede tener
normales.
responsabilidades de usuario final. El administrador de LAN puede reportarse al director de la IPF o, en
una operacin descentralizada, al gerente de usuario final. En las organizaciones pequeas, el administrador
de LAN puede tambin ser responsable de la administracin de seguridad del LAN.
Las responsabilidades de un analista de telecomunicaciones incluyen requerimientos de carga de

red en trminos de volmenes corrientes y futuros de transacciones (opcin B), evaluar el impacto de la
carga de red o los tiempos de respuesta de las terminales y las velocidades de transferencia de datos de red
(opcin C) y recomendar procedimientos y mejoras de balanceo de red (opcin D). Monitorear el desempeo
de los sistemas y rastrear los problemas como un resultado de los cambios de programa (opcin A) pondra al
Todos los empleados deben tener conocimiento de la poltica de seguridad de la empresa para prevenir la
analista en una funcin de auto monitoreo.
revelacin no intencional de informacin sensitiva. La capacitacin es un control preventivo. Los programas
de concientizacin de la seguridad para los empleados puede prevenir la revelacin no intencional de
informacin sensitiva a personas ajenas.
II
II

II
El auditor de SI debe identificar los activos, buscar vulnerabilidades, y luego identificar las amenazas y la
Un auditor de SI fue contratado para revisar la seguridad de un negocio electrnico
(e-business). La primera tarea del auditor de SI fue examinar cada aplicacin existente de e- probabilidad de que ocurran. Las opciones A, B y D deberan ser discutidas con el director de sistemas
(Chief Information Officer-CIO) y se debera entregar un reporte al director general (Chief Executive
business en busca de vulnerabilidades. Cul sera la siguiente tarea?
Officer- CEO.) El reporte debera incluir los hallazgos junto con las prioridades y los costos.
II
II
II
II
II
II
Cuando se realiza una revisin de los controles generales es importante que un auditor de SI preste atencin al
tema de la segregacin de funciones, que est afectada por prcticas de vacaciones /feriados. Las polticas y el
cumplimiento de vacaciones obligatorias puede variar dependiendo del pas y de la industria. Las
moral, no un problema de control. La formacin del personal es deseable, pero no tan crtico como una
plan estratgico
de deTIfunciones.
existe para respaldar el plan de negocios de la organizacin. Para evaluar
Un auditor de SI que revisa el plan estratgico de TI de una organizacin debera PRIMERO revisar: El
segregacin
apropiada
el plan estratgico de TI, el auditor de SI necesitara primero familiarizarse con el plan de negocios.

siendo procesada, los programas de aplicacin). La propiedad de la propiedad intelectual tendr un costo
El entrenamiento cruzado es un proceso de entrenar ms de una persona para que realice un trabajo o
Un auditor de SI que revisa una organizacin que usa prcticas de entrenamiento cruzado debe evaluar significativo y es un aspecto clave que debe ser definido en un contrato de outsourcing.
procedimiento especfico. Esta prctica ayuda a reducir la dependencia de una sola persona y asiste en la
el riesgo de:
planeacin de la sucesin. Esto provee el respaldo de personal en el caso de una ausencia y, de ese modo,
provee la continuidad de las operaciones. Sin embargo, al usar este mtodo, es prudente hacer evaluar
primero el riesgo de cualquier persona que conozca todas las partes de un sistema y las exposiciones
La complejidad de las estructuras de TI igualada por la complejidad y entrejuego de responsabilidades y
Un auditor ha sido asignado para revisar las estructuras de TI y las actividades
potenciales relacionadas. El entrenamiento cruzado reduce los riesgos resueltos en las opciones A, B y D.
garantas puede afectar o invalidar la efectividad de esas garantas y la certeza razonable de que las necesidades
recientemente seleccionadas (outsourced) para diversos proveedores. Cul de lo siguiente
del negocio sern cubiertas. Todas las otras opciones son importantes, pero no tan potencialmente peligrosas
debera el Auditor de SI determinar PRIMERO?
como el entrejuego de las reas diversas y crticas de responsabilidad contractual de los outsourcers.
Un auditor de SI que revisa un contrato de outsourcing de las instalaciones de TI esperara que ste
defina:
actividades del comit de direccin de SI, y la junta directiva debe ser informada a su debido tiempo.
La opcin A es incorrecta porque slo la gerencia principal o los niveles altos del personal deben
ser miembros de este comit debido a su misin estratgica. La opcin B no es una responsabilidad de este
comit sino la responsabilidad del administrador de seguridad. La opcin D es incorrecta porque para
II
II
II
II
II
II

demasiado estrechos en su alcance para asegurar que los procesos de TI estn, en efecto, soportando las
Un caso comprensivo de negocio para cualquier inversin de negocio propuesta relacionada con TI debera
Un ejemplo de un beneficio directo a derivarse de una propuesta inversin de negocio relacionada con metas de la organizacin.
tener beneficios de negocio claramente definidos para permitir el clculo de los beneficios. Estos beneficios por
TI es:
lo general caen en dos categoras: directos e indirectos o suaves. Los beneficios directos por lo general
comprenden los beneficios financieros cuantificables que se espera que el nuevo sistema genere. Los
beneficios potenciales, de mayor reputacin y mayor moral del personal son difciles de cuantificar, pero
independencia debera ser constantemente evaluada por el auditor y la gerencia. Esta evaluacin
Un empleado de SI de largo plazo que cuenta con un antecedente tcnico fuerte y conLa
deberan ser cuantificados hasta donde sea posible. Las inversiones de TI no deberan hacerse slo por
debera
considerar factores tales como las relaciones personales, los intereses financieros y previas
amplia experiencia gerencial ha aplicado para una posicin vacante en el departamento deconsideracin
a la nueva tecnologa sino que deberan basarse en una necesidad de negocio cuantificable.
auditora de SI. La determinacin de si se debe contratar a esta persona para esta posicinasignaciones y responsabilidades del puesto de trabajo. El hecho que el empleado haya trabajado en
debera basarse en la experiencia de la persona y en:
departamento de auditora deberan ser definidas y cualquier candidato debera ser evaluado contra
La
comn, cuando
es difcil
calcular
prdidasno financieras,
tomar un tcnica,
enfoquey evaluar
cualitativo,
esosprctica
requerimientos.
Adems,
la duracin
dellasservicio
asegurar laescompetencia
las
Un equipo que lleva a cabo un anlisis de riesgo est teniendo dificultad para proyectar las prdidas
en
el
que
el
gerente
afectado
por
el
riesgo
define
la
prdida
financiera
en
trminos
de
un
factor
ponderado
calificaciones de una persona basndose en la edad de la persona no es un buen criterio y es ilegal en muchas
financieras que podran resultar de riesgo. Para evaluar las prdidas potenciales el equipo debera:
(e.g.,
es mundo.
un impacto muy bajo para el negocio y 5 es un impacto muy alto). Un ROI es computado cuando
partes1del
hay ahorros o ingresos predecibles, que pueden ser comparados con la inversin que se necesita para realizar
los ingresos. La amortizacin se usa en un estado de ganancias y prdidas, no para computar las prdidas
potenciales. Emplear el tiempo necesario para definir exactamente la suma total es por lo general un
Un gobierno efectivo de TI requiere que la junta y la gerencia ejecutiva extiendan el gobierno
Un gobierno efectivo de TI requiere estructuras y procesos organizacionales para asegurar que:
enfoque incorrecto. Si ha sido difcil estimar las prdidas potenciales (e.g., prdidas derivadas de la
a TI y provean el liderazgo, las estructuras y procesos organizacionales que aseguren que la TI de la
erosin de la imagen pblica debido a un ataque de hacker) situacin que no es probable que cambie, y al
organizacin sostiene y extiende las estrategias y objetivos de la organizacin y que la estrategia est en armona
final del da, uno llegar a una evaluacin que no est bien respaldada.
con la estrategia del negocio. La opcin A es incorrecta porque es la estrategia de TI la que
extiende los objetivos de la organizacin, no a la inversa. El gobierno de TI no es una disciplina aislada;
Derivar
polticas
de nivel
de general
las polticas
corporativas (un mtodo de arriba abajo)
Un mtodo de arriba abajo para el desarrollo de las polticas operacionales ayudar a asegurar:
debe convertirse
en parte
integralinferior
del gobierno
de la empresa.
ayuda a asegurar consistencia en toda la organizacin y consistencia con otras polticas. El mtodo de
abajo arriba para el desarrollo de las polticas operativas se deriva como resultado de la evaluacin del riesgo.
Un mtodo de arriba abajo por s mismo no asegura que las polticas sean revisadas.
determinar:
II
Una opcin deficiente de contraseas y transmisin a travs de lneas de comunicacin no protegidas Las vulnerabilidades representan caractersticas de recursos de informacin que pueden ser explotados por
una amenaza. Las amenazas son circunstancias o eventos con el potencial de causar dao a los
son ejemplos de:
recursos de informacin, las probabilidades representan la probabilidad de que ocurra una
amenaza y los impactos representan el efecto o resultado de una amenaza que explota una vulnerabilidad.
II
Una organizacin ha hecho un outsourcing de su desarrollo de software. Cul de los siguientes es Administrar/Gestionar activamente el cumplimiento de los trminos del contrato para los servicios
externalizados (outsourced) es responsabilidad de la gerencia de TI. El pago de facturas es una
responsabilidad de la gerencia de TI de la organizacin?
responsabilidad de finanzas. La negociacin del acuerdo contractual ya habra ocurrido y por lo general
es una responsabilidad compartida del departamento legal y de otros departamentos, como por ejemplo TI.
II
Una organizacin que adquiri otros negocios contina utilizando sus sistemas heredados de EDI, yLos acuerdos escritos asistiran a la gerencia a asegurar el cumplimiento de los requerimientos
usa tres proveedores separados de red de valor agregado (VAN). No existe ningn acuerdo escrito externos. Mientras que la gerencia debe obtener garanta independiente de cumplimiento, ello no se
para la VAN. El auditor de SI debe recomendar a la gerencia que:
II
II
II
Una poltica exhaustiva y efectiva de correo electrnico debera resolver los problemas de
estructura de correo electrnico, ejecucin de polticas, monitoreo y:
clsico “documento” hace de la retencin de correspondencia electrnica una necesidad. Todo
el correo electrnico generado en el hardware de una organizacin es propiedad de la organizacin y
una poltica de correo electrnico debe resolver la retencin de mensajes, considerando tanto los
litigios conocidos como los impredecibles. La poltica debera tambin ocuparse de la destruccin de correos
electrnicos despus de un tiempo especificado para proteger la naturaleza y la confidencialidad de los
mensajes mismos. Considerar el tema de la retencin en la poltica de correo electrnico facilitara la
recuperacin, reconstruccin y reutilizacin.
Outsourcing es un acuerdo contractual por el cual la organizacin entrega el control sobre una parte o sobre
la totalidad del procesamiento de informacin a una parte externa. Esto se hace con frecuencia para adquirir
recursos o experiencia adicionales que no se obtiene desde el interior de la organizacin.
(goodwill) para la organizacin. Una definicin suscinta del riesgo es suministrada por las Directivas para la
Gerencia de Seguridad de TI publicadas por la Organizacin Internacional para la Estandarizacin
(ISO), que define el riesgo como el "potencial de que una cierta amenaza se aproveche de
la vulnerabilidad de un activo o de un grupo de activos para causar prdida o dao a los activos." Los
diversos elementos de la definicin son vulnerabilidad, amenaza, activo e impacto. La falta de una funcionalidad
adecuada de seguridad en este contexto es una vulnerabilidad.

Preguntas CISA

Diunggah oleh

Informasi Dokumen

Deskripsi Asli:

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Preguntas CISA

Diunggah oleh

Hak Cipta:

Format Tersedia

Pregunta

La ventaja PRIMARIA de un enfoque continuo de

Cul de las opciones siguientes es la tcnica de

El estatuto de auditora de SI de una organizacin

Un Contrato de auditora debera:

Un auditor de SI revisa un organigrama

Cul de las siguientes formas de evidencia para el auditor se considerara la MS confiable?

El objetivo de la autoevaluacin de control es inducir a la

En una auditora de una aplicacin de

Cul de los siguientes mtodos de muestreo es el

Qu tcnica de auditora provee la MEJOR

Las decisiones y las acciones de un auditor es

Una accin correctiva ha sido tomada por un

El propsito PRIMARIO de una auditora forense

La razn PRIMARIA por la que un auditor de SI realiza un recorrido funcional

Al planear una auditora, el paso MS crtico es la identificacin de:

Cul de los siguientes es una ventaja de una prueba integrada (ITF)?

Cul de los siguientes es un atributo del mtodo de autoevaluacin de control (CSA)?

En el curso de la realizacin de un anlisis de riesgo, un auditor de SI ha

La preservacin y documentacin de evidencia para revisin por el organismo de cumplimiento y las

Como el nombre no es el mismo (debido a variaciones de los primeros nombres), un mtodo

Cul de los mtodos de muestreo es el MS til cuando se pone a prueba su cumplimiento?

Cul de los siguientes es el MAYOR desafo al utilizar datos de prueba?

Cul de los siguientes es una ventaja de una prueba integrada (ITF)?

Qu tcnica de auditora provee la MEJOR evidencia de la segregacin de funciones en un

Durante una revisin de un archivo maestro de clientes, un auditor de SI descubri

El departamento de SI de una organizacin quiere asegurarse de que los archivos de computadora

El uso de procedimientos estadsticos de muestreo ayuda a minimizar el riesgo:

En el proceso de evaluar los controles de cambio de programa, un auditor de SI usara software de

En un enfoque de auditora basado en el riesgo, un auditor de SI debera realizar primero una:

En un servidor crtico, un auditor de SI descubre un caballo de Troya que fue

La norma sobre responsabilidad, autoridad y obligacin de rendir cuentas expresa &ldquo;La

Respecto al muestreo, se puede decir que:

Revisar los planes estratgicos a largo plazo de la gerencia ayuda al auditor de SI a:

Se asigna a un auditor de sistemas para que realice una revisin de un sistema de

Se puede comprometer la independencia si el auditor de sistemas est o ha estado involucrado

Un Auditor de SI emite un reporte de auditora sealando la falta de funciones de proteccin de

Cuando un auditor de SI recomienda un vendedor especfico, ellos comprometen su independencia

Las funciones de usuario de sistema operativo de red incluyen la disponibilidad en lnea de

Un auditor de SI que realiza una revisin de los controles de aplicacin evaluara:

Un auditor de SI revisa un organigrama PRIMARIAMENTE para:

Un organigrama provee informacin sobre las responsabilidades y la autoridad de personas en la organizacin.

Un Auditor de sistemas que trate de determinar si el acceso a la documentacin de programas

Un Contrato de auditora debera:

Un elemento clave en un anlisis de riesgo es /son:

Las vulnerabilidades son un elemento clave en la realizacin de un anlisis de riesgo. La planeacin de la

Cul de los siguientes es un beneficio de un mtodo de planeacin de auditora basado en el riesgo?

muestreo estadstico, un auditor de SI puede cuantificar con qu aproximacin debe la muestra

El objetivo PRIMARIO de una funcin de auditora de SI es:

Un elemento clave en un anlisis de riesgo es /son:

Un Contrato de auditora debera:

El departamento de SI de una organizacin quiere asegurarse de que los archivos de computadora

Se asigna a un auditor de sistemas para que realice una revisin de un sistema de

La ventaja PRIMARIA de un enfoque continuo de auditora es que:

Cul de los siguientes es un objetivo de un programa de auto evaluacin de control (CSA)?

En un enfoque de auditora basado en el riesgo, un auditor de SI debera realizar primero una:

Respecto al muestreo, se puede decir que:

El lineamiento de auditora de SI sobre el uso de un anlisis del riesgo en la planeacin de auditora

La evaluacin de riesgos es un proceso:

La responsabilidad, autoridad y obligacin de rendir cuentas de las funciones de auditora de los

Cul de las siguientes formas de evidencia para el auditor se considerara la MS confiable?

Un auditor de SI revisa un organigrama PRIMARIAMENTE para:

Un auditor de SI est efectuando una auditora de un sistema operativo de red. Cul

La norma sobre responsabilidad, autoridad y obligacin de rendir cuentas expresa “La