Se ha pedido al auditor de SI que realice un trabajo preliminar que
evaluar el alistamiento de la organizacin para que una revisin mida el cumplimiento de los nuevos requisitos regulatorios. Estos requisitos estn diseados para asegurar que la gerencia est asumiendo un papel activo en establecer y mantener un entorno bien controlado y, en consecuencia, evaluar la revisin de la gerencia y las pruebas del entorno general de control de TI. Las reas a ser evaluadas incluyen seguridad lgica y fsica, administracin de cambios, control de produccin y administracin de redes, gobierno de TI, y computacin de usuario final, Al auditor de SI se le han dado seis meses para realizar este trabajo preliminar, de modo que debe haber disponible suficiente tiempo. Se debe sealar que en aos anteriores, se han identificado reiterados problemas en las reas de seguridad lgica y administracin de cambios, de modo que estas reas muy probablemente requerirn algn grado de rectificacin. Las deficiencias de seguridad lgica notadas incluyeron compartir las cuentas de administrador y no ejecutar los controles adecuados sobre las contraseas. Las deficiencias de administracin de cambios incluyeron indebida segregacin de funciones incompatibles y no documentar todos los cambios. Adicionalmente, el proceso para desplegar las actualizaciones del sistema operativo a los servidores se encontr que era slo parcialmente efectivo. En anticipacin del trabajo a ser realizado por el auditor de SI, el director de informacin (CIO) solicit reportes directos para desarrollar narrativas y flujos de proceso que describieran las principales actividades de las que TI es responsable. Estos se llevaron a cabo, fueron aprobados por los diferentes dueos de proceso y por el CIO, y fueron luego enviados al auditor de SI para examen. Preguntas del Estudio de Caso No. 1
Qu debera hacer PRIMERO el auditor de SI?
A. Efectuar una evaluacin del riesgo de TI. B. Realizar una auditora de inspeccin de los controles de acceso lgico. C. Revisar el plan de auditora para concentrarse en la auditora basada en el riesgo. D. Comenzar a probar los controles que el auditor de SI estima que son los ms crticos.
Cuando se prueba la administracin de cambios de programas,
Cmo se debe seleccionar la muestra? A. Los documentos de administracin de cambios deben ser seleccionados al azar y examinados para verificar si son apropiados. B. Se deben sacar muestras de los cambios al cdigo de produccin y stos deben ser rastreados hasta la documentacin apropiada que autoriz. C. Los documentos de administracin de cambios deben ser seleccionados en base a la criticidad del sistema y deben ser examinados para verificar si son apropiados. D. A los cambios al cdigo de produccin se les debe sacar una muestra y se les debe rastrear hasta los registros (102) producidos por el sistema que indiquen la fecha y la hora del cambio.