compilacion de preguntas seguridad informatica
DESCRIPTION
seguridad informaticaTRANSCRIPT
COMPILACION DE PREGUNTAS SEGURIDAD INFORMATICA
EXAMEN CISA
1. Un auditor de SI, al realizar una revisión de los controles de una aplicación, descubre una debilidad en el software del sistema, lo que podría afectar materialmente la aplicación. El auditor de SI debe:
A.
Hacer caso omiso de estas debilidades de control como una revisión del software del sistema está más allá del alcance de esta revisión B. Llevar a cabo una detallada revisión del software del sistema y reportar las debilidades de control
C. Incluir en el informe una declaración de que la auditoría se limitó a una revisión de los controles de la aplicación
D. Revisar los controles relevantes del sistema de software y recomendar una detallada revisión del software del sistema.
No se espera que el auditor deba hacer caso omiso de las debilidades de control sólo porque están
fuera del alcance de una revisión actual. Además, la realización de una detallada revisión de
software de sistemas puede obstaculizar la agenda de la auditoría y el auditor puede no ser
técnicamente competente para hacer tal revisión en este momento. Si hay deficiencias de control que
han sido descubiertos por el auditor, deben ser revelados. Mediante la emisión de un descargo de
responsabilidad, esta responsabilidad podría no aplicarse. Por lo tanto, la opción adecuada sería
revisar los controles del sistema de software y recomendar un software de sistemas detallados para
los que se pueden recomendar recursos adicionales.
2. La razón para tener controles en un entorno SI:
A. el entorno manual se mantiene sin cambios, pero las funciones de control implementadas pueden
ser diferentes.
B. el entorno manual se mantiene sin cambios, por lo tanto, las funciones de control implementadas
pueden ser diferentes
C. el entorno manual se mantiene sin cambios, pero las funciones de control implementadas serán
los mismos
D. el entorno manual se mantiene sin cambios, y las funciones de control implementadas también
serán los mismos
Los objetivos de control interno aplicables a todas las áreas, ya sea manual o automatizado. Hay
objetivos adicionales que se deben alcanzar en el medio ambiente es, en comparación con el medio
ambiente manual. Objetivos de control comunes se mantienen sin cambios, tanto en el medio
ambiente es y el medio ambiente manual, aunque la aplicación de las funciones de control puede ser
diferente en el medio ambiente es, por ejemplo, la adecuación de backup / recuperación en un
objetivo de control interno común para IS y el medio ambiente manual. El objetivo específico es el
control puede ser para respaldar adecuadamente seguridad de los archivos para permitir la
recuperación adecuada. Esto se puede lograr mediante la aplicación de procedimientos de control
adecuados, como la política de continuidad de negocio, en el departamento de SI. Por lo tanto, la
aplicación de las funciones de control puede ser diferente en el medio ambiente es. Pero los
objetivos de control comunes en un entorno IS se mantienen sin cambios desde un entorno manual.
3. ¿Cuál de los siguientes tipos de riesgos supone una ausencia de controles de compensación en el
área que está siendo revisado
A. El riesgo de control
B. El riesgo de detección
C. El riesgo inherente.
D. El riesgo de muestreo
El riesgo que existe un error que podría ser el material o significativa cuando se combina con otros
errores encontrados durante la auditoría, no existiendo controles de compensación relacionados, es el
riesgo inherente. El riesgo de control es el riesgo de que existe un error material que no se pueden
prevenir o detectar en forma oportuna por el sistema de controles internos. El riesgo de detección es
el riesgo cuando un auditor de SI utiliza un procedimiento de prueba insuficiente y llega a la
conclusión de que no existen errores materiales, cuando lo hacen. Muestreo de riesgo es el riesgo de
que se hacen suposiciones incorrectas sobre las características de una población de la que se toma
una muestra.
4. Un auditor está llevando a cabo pruebas de auditoría sustantivas de un nuevo módulo de cuentas
por cobrar. El auditor tiene una agenda muy apretada y conocimientos informáticos limitados. ¿Cuál
sería la técnica de auditoría MEJOR utilizar en esta situación?
A. Los datos de prueba.
B. Simulación paralela
C. Instalación de prueba integrado
D. Módulo de auditoría Embebidos
Los datos de prueba utiliza un conjunto de transacciones hipotéticas para verificar la lógica del
programa y el control interno en un corto tiempo y por un auditor con el fondo mínimo de TI. En una
simulación paralela, los resultados producidos por un programa real se comparan con los resultados
de un programa escrito para el auditor de SI; esta técnica puede llevar mucho tiempo y requiere
conocimientos de TI. Una instalación de prueba integrado, permite que los datos de prueba para ser
evaluados continuamente cuando las transacciones se procesan en línea; esta técnica es mucho
tiempo y requiere conocimientos de TI. Un módulo de auditoría incrustado es un módulo
programado que se inserta en un programa de aplicación para poner a prueba los controles; esta
técnica es mucho tiempo y requiere conocimientos de TI.
5. El propósito principal de pruebas de conformidad es comprobar si:
A. controles se implementan según lo prescrito.
B. la documentación es correcta y actual
C. Se ofrece acceso a los usuarios según lo especificado
D. Se proporcionan los procedimientos de validación de datos
Respuesta A:
Pruebas de cumplimiento se realizan principalmente para verificar si los controles, a elección por la
administración, se implementan. Verificación de documentos no está directamente relacionada con
las pruebas de cumplimiento. Verificar si se proporciona acceso a los usuarios es un ejemplo de las
pruebas de cumplimiento. Procedimientos de validación de datos son parte de los controles de
aplicación. Prueba si estos se establecen como parámetros y trabajar como se prevé es la prueba de
conformidad.
6. ¿Cuál de las siguientes opciones describe mejor las primeras etapas de una auditoría es?
A. La observación de las instalaciones clave de la organización
B. Evaluando el entorno SI
C. La comprensión de los procesos de negocio y la revisión aplicable al entorno.
D. Revisión previa es informes de auditoría
La comprensión de los procesos de negocio y el medio ambiente aplicable a la crítica es más
representativa de lo que ocurre desde el principio, en el transcurso de una auditoría. Otras opciones
se refieren a actividades que ocurre en realidad dentro de este proceso.
7. El documento utilizado por la alta dirección de las organizaciones para autorizar la función de auditoria
de SI es el:
A. plan de auditoría a largo plazo
B. estatuto de auditoría.
C. planificación de la auditoría metodología
D. minutos del comité directivo
El estatuto de auditoría describe la autoridad general, el alcance y las responsabilidades de la función
de auditoría para lograr los objetivos de auditoría establecidos en el mismo. Este documento sirve
como un instrumento para la delegación de autoridad para la función de auditoría de SI.
Planificación de la auditoría a largo plazo se refiere a aquellos aspectos del plan de auditoría que se
ven afectados por la estrategia de TI de la organización y el medio ambiente. Planificación de la
auditoría comienza sólo después de que el estatuto de auditoría ha sido aprobado por el más alto
nivel de gestión. Las metodologías de planificación de auditoría se deciden en base al análisis tanto a
largo como a cuestiones de auditoría a corto plazo. Las actas de los comités de dirección deben
abordar la aprobación del estatuto de auditoría, pero no es el conductor que los delegados autoridad.
8. Antes de informar de los resultados de una auditoría a la alta dirección, un auditor de SI debe:
A. Confirmar los hallazgos con los auditados
B. Preparar un resumen ejecutivo y enviarla gestión auditada
C. Definir recomendaciones y presentar los resultados al comité de auditoría
D. Obtener un acuerdo de la entidad fiscalizada en los resultados y las acciones que deban tomarse.
Al término de una auditoría, un auditor de SI debe discutir con los auditados los objetivos de la
auditoría por el trabajo realizado, la prueba y las técnicas de evaluación utilizados y los resultados de
esas pruebas que llevaron a conclusiones. El auditor también debe obtener el acuerdo / desacuerdo
del auditado en relación con los resultados y las acciones que el auditor planea tomar.
9. Si bien el desarrollo de un programa de auditoría basado en el riesgo, cuál de las siguientes sería el audi-tor es más probable que se centran en?
A). Negocio procesa B). crítico aplicaciones de TI C). Objetivos Corporativos estrategias
D). negocio
10. ¿Cuál de las siguientes es una prueba de auditoría sustantiva?
A). Verificación de que un cheque de gestión se ha realizado regularmente B). Observando que los identificadores de usuario y contraseñas son requeridos para firmar en el equipo C). Revisar informes anuncio envíos cortos de los bienes recibidosD). Revisión de un balance de comprobación de edad de las cuentas por cobrar.
11. ¿Cuál de las siguientes tareas se realiza por la misma persona en un centro de servicio / equipo de procesamiento de información bien controlada?
A) Administración de la seguridad y la gestiónB) Operaciones para PC y el desarrollo del sistemaC) El desarrollo del sistema y la gestión del cambioD) El desarrollo del sistema y el mantenimiento de sistemas 12. Dónde adecuada segregación de funciones entre las operaciones y la programación no son alcanzables, el auditor de SI debe buscar:
A) controles de compensación B) controles administrativos C) controles correctivosD) controles de acceso
13. Cuál de los siguientes se incluirían en una plan estratégico de SI?A) Especificaciones para la compra de hardware planificadoB) Análisis de los futuros objetivos de negocio C) Plazos para proyectos de desarrolloD) Objetivos presupuestarios anuales del departamento de SI
13. ¿Cuál de los siguientes se incluirían en una ES plan estratégico?
A). Especificaciones para las compras de hardware planificados B). Análisis de los objetivos de negocio futuras C). Objetivo fechas para los objetivos presupuestarios proyectos de desarrollo D). anuales para el departamento de SI
14. La responsabilidad más importante de un oficial de seguridad de los datos en una organización es:
A). recomendar y supervisar las políticas de seguridad de datos. B). promoviendo conciencia de la seguridad dentro de la organización. C). establecen los procedimientos de las políticas de seguridad de TI. D). administrar los controles de acceso físico y lógico.
15. ¿Cuál de las siguientes opciones describe mejor el proceso de planificación estratégica de un departa-mento de TI? A). El departamento de TI tendrá en planes de corto alcance o de largo alcance en función de los planes y objetivos más amplios de la organización. El plan estratégico del departamento B). La TI debe ser el tiempo y orientado a proyectos, pero no es tan detallada como para atender y ayudar a determinar las prioridades para satisfacer las necesidades del negocio.
C). La planificación a largo plazo para el departamento de TI debe reconocer objetivos de la organización, los avances tecnológicos y los requisitos reglamentarios. D). La planificación a corto plazo para el departamento de TI no tiene que ser integrado en los planes a cor-to plazo de la organización ya los avances tecnológicos impulsarán el departamento de TI planes mucho más rápido que los planes de la organización.
19. Un auditor está auditando los controles relativos a la rescisión de los empleados. ¿Cuál de
los siguientes es el aspecto más importante para ser revisado?
A. El personal de la empresa relacionadas son notificados acerca de la terminación
B. ID de usuario y las contraseñas de los empleados se han eliminado
C. Los detalles de los empleados se han eliminado de los archivos de nómina activos propiedad de la em -
presa D. proporcionado al empleado se ha vuelto.
Respuesta: B
El mayor riesgo es el acceso lógico a la información por un empleado despedido. Esta forma de acceso es
posible si no se han eliminado el identificador de usuario y la contraseña del empleado despedido. Si el ID
de usuario no está deshabilitado o eliminado, es posible que el empleado sin visitar físicamente la empresa
puede acceder a la información. El potencial de la pérdida en la cuenta de acceso a la información es mu-
cho más alto, en comparación con el pago del salario y la retención de la propiedad de la compañía.
20. Al revisar un acuerdo de nivel de servicio para un centro informático externalizado un
auditor de SI debe determinar primero que:
A. el costo propuesto para los servicios es razonable. Mecanismos de seguridad
B. se especifican en el acuerdo.
C. los servicios en el acuerdo se basa en un análisis de las necesidades del negocio.
D. Acceso auditoría al centro de cómputo está permitida en virtud del acuerdo.
Respuesta: C
La primera consideración en la revisión del acuerdo es asegurar que el negocio está pidiendo los
servicios más apropiados para satisfacer sus necesidades de negocio. Debe haber evidencia de que
ellos han considerado que servicios son necesarios, tanto en el presente como en el futuro. El costo
es importante (opción A), ya que el negocio puede estar pagando por niveles de servicios que no son
necesarios o no son apropiadas, pero no es de primera importancia. Ambos, acceso de auditoría
(opción D) y de seguridad objetivos, en lugar de los mecanismos de seguridad (opción B), son
temas que deben ser considerados como parte de la revisión, pero no son de primera importancia.
21. El principal beneficio de la normalización de bases de datos es el siguiente:
A. minimización de la redundancia de la información en las tablas necesarias para satisfacer las
necesidades de los usuarios.
B. capacidad de satisfacer a más consultas.
C. maximización de la integridad de la base de datos, proporcionando información en más de una
tabla.
D. minimización del tiempo de respuesta más rápido a través del procesamiento de la información.
Respuesta: A
La normalización significa la eliminación de datos redundantes. Por lo tanto, el objetivo de la
normalización de bases de datos relacionales es minimizar el volumen de la información mediante
la eliminación de datos redundantes en tablas, de forma rápida tramitación de las solicitudes de los
usuarios y el mantenimiento de la integridad de datos. Maximizar el volumen de la información está
en contra de las reglas de normalización. Si determinada información se proporciona en las tablas
de diferencia, el objetivo de la integridad de los datos puede ser violado porque una tabla puede ser
actualizada y no en otros. Las reglas de normalización abogan almacenar datos en una sola tabla,
por lo tanto, reducir al mínimo el tiempo de respuesta más rápido a través del procesamiento de la
información.
22. ¿Cuál de las siguientes topologías de red proporciona la redundancia mayor en el caso de
la falla de un nodo?
A. Malla
B. Estrella
C. Anillo
D. autobús
Respuesta: A
En la configuración de malla, los dispositivos están conectados con muchas interconexiones
redundantes entre nodos de la red, con lo que, obteniéndose la mayor redundancia en el caso de que
uno de los nodos falla, en la que el tráfico de red caso puede ser redirigido a otro nodo. En
configuración de estrella, cada estación está relacionada con el eje principal. El principal centro
establece la conexión entre las estaciones por el mensaje o la conmutación de línea. Por lo tanto, el
fallo de un nodo resultado en la interrupción de la red. En la configuración de anillo, todos los
nodos están conectados entre sí de formación de un círculo; Por lo tanto, el fallo de un nodo resulta
en la interrupción de la red. En configuración de bus, todos los dispositivos están vinculados a lo
largo de una línea de comunicación con dos puntos finales llamados la columna vertebral; Por lo
tanto, el fallo de un nodo resulta en la interrupción de la red.
23. desempeño Un vendedor / del contratista contra los acuerdos de nivel de servicio debe ser
evaluado por la:
A. cliente.
B. contratista.
C. de terceros. Gestión de
D. contratista.
Respuesta: A
Sólo el cliente debe evaluar el desempeño del proveedor en un acuerdo de nivel de servicio (SLA).
Esto hace que el cliente confía en el servicio prestado por el proveedor. Sin embargo, la decisión de
qué medir debe ser decidida por el cliente y el proveedor.
24. Cuando la auditoría de un sistema operativo de mainframe, lo que haría que el auditor de
establecer qué características de control están en funcionamiento?
A. Examine los parámetros utilizados cuando el sistema se generó
B. Discuta opciones de parámetros del sistema con el proveedor
C. Evaluar la documentación de sistemas y guía de instalación
D. Consulte a los programadores de sistemas
Respuesta: A
La única manera de establecer que los controles están funcionando en un sistema operativo actual es
determinar cuáles fueron los ajustes de los parámetros en el momento el sistema se generó o creado
(a menudo denominada la carga del programa inicial o IPL). Aunque los resultados de este ejercicio
también se pueden evaluar aún más por la discusión con el vendedor, la evaluación de la
documentación y consulta de los programadores de sistemas, estas acciones no, por sí mismos,
establecer funciones de control específicas.
25.. Al llevar a cabo una auditoría de seguridad de base de datos cliente / servidor, el auditor debería darle prioridad a:
A. utilidades del sistema. B. generadores de programas de aplicación. C. Documentación de la seguridad del sistema. D. acceso a los procedimientos almacenados.
RESPUESTA: AUtilidades del sistema pueden permitir cambios no autorizados a efectuar a los datos de la base de datos cliente-servidor. En una auditoría de seguridad de base
de datos, los controles sobre esas utilidades serían la principal preocupación del auditor .Generadores de programas de aplicación son una parte intrínseca de la tecnología cliente-servidor, y el auditor de evaluarían los controles sobre los generadores de derechos de acceso a la base de datos en lugar de su disponibilidad. Documentación de Seguridad debe ser restringida a personal de seguridad autorizado, pero esto no es una preocupación principal, ni el acceso a los procedimientos almacenados.
26. ¿Cuál de las siguientes opciones permitiría que una empresa amplíe su intranet a través de Internet de sus socios de negocio?
A. red privada virtual (VPN)B. Cliente-Servidor C. Acceso telefónico D. Proveedor de servicios de red
RESPUESTA: ALa tecnología VPN permite a los socios externos para que participen de forma segura en la extranet mediante redes públicas como el transporte o la red privada compartida. Debido al bajo costo, el uso de redes públicas (Internet) como medio de transporte es el principal método. VPNs se basan en técnicas de túnel / encapsulación, que permiten al protocolo de Internet (IP) realizar una variedad de diferentes protocolos (por ejemplo, SNA, IPX, NetBEUI.) Cliente-servidor no se ocupa de la ampliación de la red de socios de negocios (es decir, cliente- servidores se refiere a un grupo de equipos dentro de una organización conectada por una red de comunicaciones, donde el cliente es la máquina de petición y el servidor es la máquina suministradora.) Un proveedor de servicios de red puede proporcionar servicios a una red privada compartida por la prestación de servicios de Internet, pero no extendió la intranet de una organización.
27. Un procedimiento de auditoria para el monitoreo de hardware debería ser:
A. Informar sobre la disponibilidad del sistema. B. Informar sobre el costo-beneficio. C. Informar sobre el tiempo de respuesta. D. Informe sobre la utilización de la base de datos.
RESPUESTA: AUn auditor de SI, mientras que los procedimientos de vigilancia de hardware audi-toría revisará los informes de disponibilidad del sistema. Informes de costo-benefi-cio son revisados durante el estudio de factibilidad. Informes en tiempo de res-puesta se relacionan con las aplicaciones, no con el hardware. Los informes de utilización de bases de datos se revisan para comprobar el uso óptimo de la base de datos en toda la organización.
28. El dispositivo que conectan dos redes al más alto nivel del marco ISO-OSI (es decir, la capa de aplicación) es una
A. Puerta de enlace B. Router C. Puente D. Brouter
Respuesta: ALa puerta de enlace se utiliza para conectar dos redes que utilizan protocolos dife-rentes en las capas inferiores a través del cual se establece la conectividad a sa-ber física, de enlace de datos, redes y capas de transporte. Router es un dispositi-vo de capa de red para el que las dos redes de conexión deben tener el mismo protocolo de capa de red. Puente opera en la capa de enlace de datos. Debe te-ner protocolos de capa de enlace de datos, tales como Token Ring, Ethernet, en uso, tanto en las redes. Brouter es esencialmente un puente con algunas funcio-nes de enrutamiento.
29. ¿Cuál de las siguientes afirmaciones relativas a las redes de conmutación de paque-tes es la correcta?
A. Paquetes para un mensaje dado que viajan por el mismo camino. B. Las contraseñas no puede ser embebido dentro del paquete. C. Longitudes de paquetes son variables y cada paquete contiene la misma cantidad de información. D. El costo cobrado por la transmisión se basa en paquetes, de distancia o ruta recorrida.
Respuesta: DD es la respuesta correcta, ya que los costos de transmisión se basan en los pa-quetes transmitidos, no a la distancia o la ruta recorrida. Contraseñas y otros da-tos se pueden colocar dentro de un paquete de la toma de la opción B incorrec-ta. Las opciones A y C no son correctas porque un mensaje completo se divide en unidades de transmisión (paquetes), que se enrutan individualmente a través de la red.
30. Un auditor al revisar una red utilizada para las comunicaciones por Internet, examinará en primer lugar la:
A. validez de contraseñas cambiar ocurrencias. B. arquitectura de la aplicación cliente-servidor. C. arquitectura de la red y el diseño. D. protección firewall y servidor proxy.
Respuesta: CEl primer paso en la auditoría de una red es entender la arquitectura y el diseño de la red. Esto proporcionaría una visión global de la red de las empresas y su co-nectividad. Este será el punto de partida para la identificación de las diferentes ca-pas de información y la arquitectura de acceso a través de las distintas capas, como servidores proxy, servidores de seguridad y aplicación de cliente / servi-dor. Validez Revisión de los cambios de contraseña se realiza como parte de las pruebas de confirmación.
31. ¿Cuál de las siguientes MEJOR proporciona control de acceso a los datos de nómina que se procesa en un servidor local?
A. Registro de acceso a la información personal B. contraseña separada para las transacciones sensibles C. Software restringe las reglas de acceso al personal autorizado D. Sistema limita las horas de acceso en apertura
Respuesta: CLa seguridad del servidor y el sistema debe definirse para permitir el acceso del personal autorizado únicamente a la información sobre el personal cuyos registros que manejan en el día a día. La opción A es un buen control en el que va a permi-tir el acceso a analizar si existe la preocupación de que no existe el acceso no au-torizado. Sin embargo, no impedirá el acceso. La opción B, restringir el acceso a transacciones sensibles, sólo restringir el acceso a parte de los datos. No va a im-pedir el acceso a otros datos. La opción D, el acceso al sistema es restringido en horas de apertura, sólo restringe cuando puede producirse el acceso no autoriza-do, y no impediría dicho acceso en otros momentos.
32. ¿Cuál de las siguientes preocupaciones sobre la seguridad de un mensaje electrónico se abordarían mediante firmas digitales?
A. lectura no autorizada B. Robo C. La copia no autorizada D. La alteración
Respuesta: D
Una firma digital incluye un total de hash cifrado del tamaño del mensaje, ya que fue transmitida por su autor. Este hash ya no sería exacta si el mensaje fue poste-riormente alterado, lo que indica que se había producido la alteración. Las firmas digitales no identifican o previenen ninguna de las otras opciones. La firma sería ni evitar ni disuadir la autorizada lectura, copia o robo.
33. El método más eficaz para limitar el daño de un ataque de un virus de software es:
A. Controles de software.
B. Políticas, normas y procedimientos.
C. Controles de acceso lógico
D. Estándares de comunicación de datos.
Respuesta: A
Los controles de software en forma de programas de detección y eliminación de virus son la manera método
más eficaz para detectar y eliminar virus. Las políticas, normas y procedimientos son importantes, porque
son basados en las personas; sin embargo, se consideran generalmente menos eficaces que los controles
de software. Las opciones C y D, no son relevantes para la detección de virus.
34. ¿Cuál de los siguientes determina mejor que existen protocolos de cifrado y autenticación completos
para proteger la información mientras se transmite?
A. Una firma digital con RSA ha sido implementada.
B. Se está trabajando en el modo de túnel con los servicios jerarquizados de AH y ESP
C. Se utilizan certificados digitales con RSA.
D. Se está trabajando en el modo de transporte, con los servicios jerarquizados de AH y ESP
Respuesta: B
El modo de túnel proporciona cifrado y autenticación del paquete IP completo. Para lograr esto, el AH
(encabezado de autenticación) y ESP (que encapsula la carga útil de seguridad) se anidan al paquete IP. El
modo de transporte proporciona protección primaria para las capas más altas de los protocolos, esto es, la
protección se extiende al campo de datos (carga útil) de un paquete IP. Los otros dos mecanismos
proporcionan autenticación e integridad.
35. ¿Cuál de las siguientes resultaría más adecuado para garantizar la confidencialidad de las
transacciones iniciadas a través de Internet?
A. Firma digital
B. Estándar de cifrado de datos (DES)
C. Red privada virtual (VPN)
D. Cifrado de clave pública
Respuesta: D
El cifrado es la única manera de garantizar las transacciones por Internet son confidenciales, y de las
opciones disponibles, el uso de cifrado de clave pública es el mejor método. Las firmas digitales asegurarán
que la transacción no se cambia y no puede ser repudiado, pero no garantizan la confidencialidad.
36. El objetivo principal de un firewall es proteger a:
A. Sistemas internos de amenazas externas.
B. Sistemas externos de amenazas internas.
C. Sistemas internos de amenazas internas.
D. Sí mismo.
Respuesta: A
El Firewall se coloca en el punto donde la red interna se conecta con el mundo exterior e
Internet. Actúa como un guardia de seguridad de la red, lo protege contra ataques maliciosos
desde fuera de la red de la organización. Examina paquetes que entran y que salen de la red
interna, evita el ingreso de paquetes maliciosos y niega el acceso a los recursos prohibidos en
Internet para los usuarios internos. Los paquetes cuyas direcciones IP origen y destino referirse
a los hosts dentro de la misma red no se envían fuera de la red y por lo tanto no representan
una amenaza a la seguridad.
37. ¿Cuál de los siguientes es un ejemplo de la técnica biométrica fisiológica?
A. Escaneo de mano.
B. Escaneo de voz.
C. Escaneo de firma.
D. Monitoreo de teclas.
Respuesta: A
La biometría fisiológica se basa en la medición de los datos derivados de la medición directa de
una parte del cuerpo humano. Las opciones B, C y D son ejemplos de la biometría de
comportamiento.
38. Un auditor acaba de completar una revisión de una organización que tiene una unidad
central y un entorno cliente-servidor en el que todos los datos de producción residen. ¿Cuál de
las siguientes debilidades sería considerado el más grave?
A. El oficial de seguridad también sirve como el administrador de base de datos (DBA).
B. Controles de contraseña no son administrados por el entorno cliente/servidor.
C. No existe un plan de continuidad del negocio para aplicaciones no críticas del sistema
mainframe.
D. La mayoría de las LAN no respaldan discos fijos de servidor de archivos con regularidad.
Respuesta: B
La ausencia de controles de contraseña en el cliente-servidor donde residen los datos de
producción es la debilidad más crítica. Todas las demás conclusiones, mientras que son
debilidades de control, no tienen el mismo impacto desastroso.
39. Una organización propone la instalación de un inicio de sesión único que da acceso a todos
los sistemas. La organización debe tener en cuenta que:
A. Acceso Máximo autorizado sería posible si una contraseña se da a conocer.
B. Los derechos de acceso del usuario serían limitadas por los parámetros de seguridad
adicionales.
C. la carga de trabajo del administrador de seguridad aumentaría.
D. Derechos de acceso del usuario se incrementarían.
Respuesta: A
Si una contraseña se da a conocer al inicio de sesión único está habilitado, existe el riesgo de
que el acceso no autorizado a todos los sistemas sea posible. Los derechos de acceso del
usuario deben permanecer sin cambios por el inicio de sesión único como parámetros
adicionales de seguridad no se aplican necesariamente. Uno de los beneficios previstos de
inicio de sesión único es que la administración de seguridad se simplificaría y un aumento de la
carga de trabajo es poco probable.
40. Un sitio web de comercio electrónico B-to-C como parte de su programa de seguridad de la
información quiere monitorear, detectar y prevenir actividades de hacking y alertar al
administrador del sistema cuando se producen actividades sospechosas. Cuál de los siguientes
componentes de la infraestructura podría ser utilizado para este propósito?
A. Los sistemas de detección de intrusiones
B. Los cortafuegos
C. Routers
D. cifrado asimétrico
Respuesta: A
Los sistemas de detección de intrusiones detectan la actividad de intrusos basado en las reglas
de intrusión. Es capaz de detectar tanto, la actividad de intrusión externa e interna y enviar un
mensaje de alarma automática. Los cortafuegos y routers evitan las comunicaciones no
deseadas y bien definidas entre las redes internas y externas. Ellos no tienen ningún sistema
de mensajería de alarmas automáticas.
41 Durante una auditoría de acuerdo mutuo de recuperación de desastres entre dos empresas, el auditor de SI estaría principalmente preocupado por:
A. La solidez del análisis de impacto. B. La compatibilidad entre el hardware y software. C. Diferencias entre las políticas y procedimientos de SI. D. Frecuencia de las pruebas del sistema.
Respuesta: B.
Para que el acuerdo mutuo sea eficaz, el hardware y software deben ser compatibles en ambos sitios. Para garantizar esto los procesos de estar en su lugar. La opción D, la frecuencia de las pruebas del sistema, es una preocupación, pero la razón para considerar esto es que se pone a prueba la compatibilidad de hardware y software. La opción A es un problema cuando se examina el proceso de planificación, no el acuerdo de reciprocidad. La opción C no es un problema ya que la organización puede tener diferencias en las políticas y procedimientos y aun así pueden ser capaces de ejecutar sus sistemas en caso de un desastre.
42. Un auditor de SI descubre que el plan de continuidad del negocio de una organización prevé un sitio de procesamiento alterno que se adapta al cincuenta por ciento de la capacidad de procesamiento primario. En base en esto, ¿cuál de las siguientes acciones debería tomar el auditor de SI?
A. No hacer nada, porque por lo general, menos del veinticinco por ciento de todo el proceso es fundamental para la supervivencia de una organización y la capacidad de copia de seguridad, por lo tanto, es adecuado.
B. Identificar las aplicaciones que podrían ser procesados en el sitio alternativo y de-sarrollar procedimientos manuales en copia de seguridad de otro proceso.
C. Asegurarse de que las aplicaciones críticas se han identificado y que el sitio alter-nativo podría procesar todas las solicitudes.
D. Se recomienda que la instalación de procesamiento de información organice un si-tio de procesamiento alterno con la capacidad de manejar al menos el setenta y cinco por ciento de procesamiento normal.
Respuesta C:
Los planes de continuidad de negocios deben proporcionar medidas para la recuperación de los sistemas críticos, no necesariamente para todos los sistemas. Tal vez sólo el cincuenta por ciento de los sistemas de la empresa son fundamentales. Por lo tanto, la evaluación cuidadosa de los sistemas críticos y los requisitos de capacidad debe ser parte de la evaluación del plan realizada por el auditor.
43. ¿Cuál de los siguientes componentes de un plan de continuidad del negocio es principalmente la responsabilidad del departamento de IS?
A. Desarrollar el plan de continuidad de negocio.B. Selección y aprobar una estrategia de continuidad de negocio plan.C. Declarar un desastre.D. Restaurar los datos y sistemas de la SI después de un desastre.
Respuesta D:
La opción correcta es restaurar los sistemas y los datos después de un desastre. El Departamento de TI de una organización es responsable de restaurar los sistemas y los datos después de un desastre, en el momento más temprano posible. La alta
dirección de la organización es responsable de desarrollar el plan de continuidad de negocio para la organización. También son responsables de seleccionar y aprobar la estrategia para el desarrollo e implementación de un plan de continuidad de negocio detallado. La organización debe identificar a una persona en la gerencia como responsable de declarar un desastre. Aunque está involucrada en todos los tres componentes, pero no es responsable de ellos.
44. ¿Cuál de los siguientes temas deben ser incluidos en el plan de continuidad del negocio?
A. El personal necesario para mantener las funciones críticas del negocio en el cor-to, mediano y largo plazo B. El potencial para que ocurra un desastre natural, como un terremoto C. eventos desastrosos que afectan a las funciones de procesamiento de sistemas de información y de los usuarios finales D. Un riesgo análisis que considera un mal funcionamiento de sistemas, eliminación accidental de archivos u otros fallos
Respuesta: A
Donde no existe un plan de continuidad de negocio unificado, el plan para el proce-samiento de sistemas de información debe ampliarse para incluir la planificación de todas las unidades que dependen de funciones de procesamiento de sistemas de in-formación. Pero, en la formulación de un plan de continuidad de negocio a fondo, una cuestión muy importante a considerar es el personal que se requiere para man-tener las funciones críticas del negocio con el tiempo, hasta que la organización es-tá en pleno funcionamiento de nuevo. Otra cuestión importante es la configuración de las instalaciones de negocios, por ejemplo, escritorios, sillas, teléfonos, etc., que serán necesarios para mantener las funciones críticas del negocio en el corto, me-diano y largo plazo. La opción B es incorrecta, ya que tiene que ver con lo que un buen plan de continuidad de negocio va a tener en cuenta en caso de eventos ca-tastróficos que ocurren. Esto podría ser considerado como un subconjunto de un plan de continuidad de negocio, pero no tiene el mismo impacto que el personal ne-cesario y capacitado para llevar a cabo en caso de un desastre natural. La opción C es incorrecta porque, al igual que en el caso de desastres naturales, esto podría ser considerado como un subconjunto de un plan de continuidad de negocio, pero no tiene el mismo impacto que el personal necesario y capacitado para llevar a cabo en el caso de un desastre que afectaría funciones de procesamiento de información de sistemas y usuarios finales. La opción A sería el tema y las opciones B y C sería la causa para implementar el plan de continuidad del negocio. La opción D es inco-rrecta porque se trata de interrupciones en el servicio que tiene sus raíces en el mal funcionamiento de los sistemas; pero de nuevo, esto sería otro aspecto tratado en el plan de continuidad de negocio, pero no es un tema principal incluido en él.
45. En una auditoría de un plan de continuidad de negocio, ¿cuál de los siguientes hallazgos es que más preocupan?
A. No hay un seguro para la incorporación de los activos durante el año. Manual B. BCP no se actualiza de forma regular. C. Prueba de la copia de seguridad de los datos no se ha hecho con regularidad. D. Los registros de mantenimiento del sistema de acceso no se han mantenido.
Respuesta: CEl activo más importante de una empresa es de datos. En un plan de continuidad del negocio, es crítico para asegurar que los datos están disponibles. Por lo tanto, el análisis regular de la copia de seguridad de los datos debe hacerse. Si la prueba no se realiza, la organización no puede ser capaz de recuperar los datos cuando sea
necesario durante un desastre; por lo tanto, la empresa puede perder su activo más valioso y puede no ser capaz de recuperarse de la catástrofe. La pérdida a causa de la falta de seguro se limita al valor de los activos. Si el manual BCP no se actualiza, la empresa puede encontrar el manual de BCP no plenamente pertinentes para la recuperación en caso de desastre. Sin embargo, la recuperación podría ser todavía posible. No mantenimiento de registros en un sistema de acceso no tendrá un im-pacto directo de la pertinencia del plan de continuidad del negocio.
46. Clasificación de los sistemas de información es esencial en la planificación de la continuidad del negocio. ¿Cuál de los siguientes tipos de sistemas no pueden ser reemplazados por métodos manuales? Sistema
A. sistema crítico B. Sistema Vital C. sistema sensible D. No crítica
Respuesta: ALas funciones de un sistema crítico sólo pueden ser sustituidos por capacidades idénticas. Las funciones de los sistemas vitales y sensibles se pueden realizar ma-nualmente. La opción D es un distractor.
47. Un auditor debe participar en:A. observando pruebas del plan de recuperación de desastres.B. el desarrollo del plan de recuperación de desastresC. mantener el plan de recuperación de desastres.D. revisar los requisitos de recuperación de desastres de los contratos con los proveedores.
Respuesta: AEl auditor de SI debe estar siempre presente cuando los planes de recuperación de desastres se ponen a prueba, para asegurar que el ensayo cumple los objetivos necesarios para los procedimientos de restauración y recuperación son eficaces y eficientes, al informar sobre los resultados según corresponda. Los auditores pueden estar involucrados en la supervisión del desarrollo del plan, pero es poco probable que participar en el proceso de desarrollo real. Del mismo modo, una auditoría de mantenimiento plan puede ser llevado a cabo, pero el auditor normalmente no tendría ninguna responsabilidad por el mantenimiento real. Un auditor de SI se le puede pedir a comentar diversos elementos de un contrato de proveedor, pero, de nuevo, esto no es siempre el caso.
48. La ventana de tiempo de recuperación de la capacidad de procesamiento de la información se basa en la:A. criticidad de los procesos afectados.B. calidad de los datos a procesar.C. naturaleza del desastre.D. aplicaciones que se basan mainframe.
Respuesta: ALa criticidad de los procesos que se ven afectados por el desastre es la base para el cálculo de la ventana de tiempo de recuperación. La calidad de los datos a procesar y la naturaleza del desastre no son la base para determinar la ventana de tiempo. Al ser una aplicación de mainframe no de sí mismo proporciona una ventana de base de tiempo.
49. Durante una auditoría de TI de un gran banco, un auditor observa que ningún
ejercicio formal de evaluación de riesgos se ha llevado a cabo por las distintas
aplicaciones de negocios para llegar a su importancia relativa y requisitos de tiempo de
recuperación. El riesgo de que el banco está expuesto a es que el:
A. plan de continuidad del negocio no puede haber sido calibrado para el riesgo relativo
que la interrupción de cada aplicación supone para la organización.
B. plan de continuidad del negocio no incluya todas las aplicaciones relevantes y, por
tanto, pueden carecer de integridad en términos de su cobertura.
C. impacto en el negocio de un desastre puede no haber sido entendido con precisión
por la dirección.
D. plan de continuidad del negocio puede carecer de una propiedad efectiva por los
propietarios de negocios de este tipo de aplicaciones.
Respuesta: A
La primera y fundamental paso para desarrollar un plan de continuidad de
negocio es un ejercicio de evaluación de riesgo que analiza los diversos riesgos que
una organización enfrenta y el impacto de la falta de disponibilidad de las
aplicaciones individuales. Sección 4.9.1.2 de la norma BS 7799 (Norma de
Información de Gestión de la Seguridad) afirma que "un plan estratégico, basado
en la evaluación de riesgos adecuada, será desarrollado para enfoque global de la
continuidad del negocio."
50. ¿Cuál de los siguientes es necesario tener por primera vez en el desarrollo de un plan de continuidad de negocio?
A. clasificación basada en el riesgo de los sistemasB. Inventario de todos los activosC. La documentación completa de todos los desastresD. La disponibilidad de hardware y software
Respuesta: A
Un sistema de clasificación basado en el riesgo bien definido para todos los activos y
procesos de la organización es uno de los componentes más importantes para la
inicialización de los esfuerzos de planificación de continuidad del negocio. Un sistema
bien definido de clasificación basado en el riesgo podría ayudar a identificar la
criticidad de cada uno de los procesos clave y los activos utilizados por la organización.
Esto ayudaría a la fácil identificación de los activos y los procesos clave para ser
asegurado y los planes que se hacen para recuperar estos procesos y activos como muy
pronto después de un desastre. Se requiere de inventario de los activos críticos y no
todos los activos para iniciar un plan de continuidad del negocio. La documentación
completa de todos los desastres no es un requisito previo para iniciar un plan de
continuidad de negocio, en lugar varios desastres son considerados al desarrollar el plan
y sólo el que tiene un impacto en la organización se abordan en el plan. La
disponibilidad de hardware y software no es necesario para iniciar el desarrollo de un
plan; Sin embargo, se considera la hora de desarrollar el plan detallado de acuerdo con
la estrategia adoptada
51.¿ Los planes de prueba de aplicaciones son desarrollados en cual es las siguientes
fases del ciclo de vida del desarrollo de sistemas (SDLC)?
A. Diseño
B. Pruebas
C. Requisito
D.Desarrollo
Respuesta: A
Desarrollar planes de prueba para los diversos niveles de la prueba es una de las
actividades clave durante la fase de diseño de desarrollo de aplicaciones. Los planes de
prueba se utilizan en las pruebas de software real.
52. ¿Cuál de las siguientes pruebas confirman que el nuevo sistema puede funcionar en
su entorno de destino?
A. Sociabilidad
B. Regresión
C. Validación
D. Negro
Respuesta: A
La sociabilidad prueba se utiliza para confirmar que el nuevo o modificado sistema
puede operar en su entorno de destino sin impactar adversamente en el sistema
existente. Las pruebas de regresión es el proceso de volver a ejecutar una parte de un
escenario de prueba o plan de pruebas para asegurar que los cambios o correcciones no
han introducido nuevos errores. Las pruebas de validación se utiliza para probar la
funcionalidad del sistema contra el requisito detallada para garantizar que el software
que ha sido construido es trazable a los requisitos del cliente. Pruebas de caja Negro
examina algunos aspectos del sistema durante las pruebas de integración con poco
respeto por la estructura lógica interna del software.
53. La persona más adecuada para presidir el comité de dirección para un proyecto de
desarrollo de sistemas con un impacto significativo en una zona de negocios sería el:
A. Analista de negocios
B. director de información.
C. director del proyecto.
D. gerente de nivel ejecutivo
Respuesta: D
El presidente del comité de dirección debe ser una persona de alto nivel (director de
nivel ejecutivo) con la autoridad para tomar decisiones relativas a la los requerimientos
del negocio, recursos, prioridades y los resultados del sistema. El director de
información (CIO) normalmente no sería la silla, aunque el CIO o su representante sería
un miembro para dar su opinión sobre las estrategias amplias de organización. El
director del proyecto y el analista de negocios no tienen un nivel apropiado de autoridad
dentro de la organización.
54. El objetivo principal de llevar a cabo una ejecución en paralelo de un nuevo sistema
consiste en:
A. verificar que el sistema ofrece la funcionalidad empresarial requerida.
B. validar el funcionamiento del nuevo sistema en contra de su predecesor.
C. resolver cualquier error en las interfaces de programa y archivos.
D. verificar que el sistema puede procesar la carga de producción.
Respuesta: B
El objetivo de correr paralela es verificar que el nuevo sistema produce los mismos
resultados que el sistema antiguo. La verificación de la funcionalidad es a través de las
pruebas de aceptación, mientras que los errores en la resolución de los programas se
lleva a cabo a través de las pruebas del sistema. Verificación de que el sistema puede
manejar la carga de producción puede ser un resultado secundario de una carrera en
paralelo, pero no es el objetivo principal. Si fuera el propósito principal, sería una
prueba de esfuerzo, probablemente ejecute en el entorno de prueba.
55. Los procedimientos de control de cambios para evitar la corrupción del alcance
durante un proyecto de desarrollo de la aplicación se deben definir durante:
A. diseño.
B. viabilidad.
C. implementación.
D. definición de requisitos
Respuesta: A
Los procedimientos de control de cambios son por lo general común para aplicaciones
dentro de una organización; Sin embargo, los procedimientos de control de cambios
específicos de la aplicación se definirán durante la fase de diseño de SDLC y deben
basarse en los módulos del software. Las otras opciones son incorrectas. Es demasiado
pronto para definir los procedimientos de control de cambios durante la fase de
viabilidad, y también sería demasiado tarde durante la fase de implementación y
después de la aplicación de software.
56. ¿Cuál de los siguientes es más probable de asegurar que un proyecto de desarrollo
de software cumpla con los objetivos del negocio?
A. Mantenimiento de registros de cambio de programa
B. Desarrollo de un plan de proyecto identificar todas las actividades de desarrollo
C. Liberación de aplicación cambia en momentos específicos del año
D. Participación de los usuarios en la especificación del sistema y la aceptación
Respuesta: D
Participación de los usuarios efectiva (opción D) es el factor más crítico para asegurar
que la solicitud cumple con los objetivos de negocio. Las opciones A, B y C son las
herramientas de gestión de proyectos y técnicas y no son de ellos mismos métodos para
garantizar que los objetivos de negocio se cumplen por el sistema de aplicación.
57. ¿Cuál de las siguientes es una medida de tamaño de un sistema de información
basado en el número y la complejidad de las entradas, salidas y archivos de un sistema?
A. Punto de función (FP)*
B. Técnica de programa de revisión de la evaluación (PERT)
C. Diseño rápido de aplicaciones (RAD)
D. Método del Camino Crítico (CPM)
58. Durante la auditoría de la fase de requisitos de adquisición de software, el auditor
debe:
A. Evaluar la viabilidad del calendario del proyecto.
B. Evaluar los procesos de calidad propuestos por el vendedor.
C. Asegurar que el mejor paquete de software es adquirido.
D. Revisar la integridad de las especificaciones.*
59. El propósito de los programas de depuración es:
A. generar datos aleatorios que se puedan utilizar para probar los programas antes de su
aplicación.
B. proteger, durante la fase de programación, cambios válidos que puedan ser
sobrescritos por otros cambios.
C. definir los costes de desarrollo y mantenimiento de programas que se incluyen en el
estudio de factibilidad.
D. garantizar que el programa de terminaciones anormales y defectos de
codificación de programas son detectados y corregidos.*
60. ¿Cuál de los siguientes atributos de software se refiere al MEJOR mantenimiento de
software?
A. Recursos necesarios para realizar las modificaciones especificadas.
B. Esfuerzo necesario para utilizar la aplicación del sistema.
C. Relación entre el rendimiento del software y los recursos necesarios.
D. El cumplimiento de las necesidades del usuario.*
61. El gobierno de IT asegura que una organización adopte su estrategia IT con:
A. Objetivos de la empresa. *
B. Objetivos de IT.
C. Objetivos de la auditoría.
D. Objetivos de Finanzas.
62. Una validación que asegura los datos de entrada que corresponden a límites
razonables predeterminados o tasas de ocurrencia, se conoce como:
A. Verificación de razonabilidad.*
B. Comprobación de validez.
C. Verificación de Existencia.
D. Verificación límite.
63. ¿Durante cuál de los siguientes pasos en el proceso de reingeniería de negocios
debería el equipo de evaluación comparativa trabajar junto al socio de benchmarking?
A. Observación*
B. Planificación
C. Análisis
D. Adaptación
64. ¿Cuál de los siguientes procedimientos deben aplicarse para ayudar a garantizar la
integridad de las transacciones de entrada a través del intercambio electrónico de datos
(EDI)?
A. Conteo de segmentos integrados al conjunto de transacciones avanzadas.*
B. Un registro de la cantidad de mensajes recibidos, verificados periódicamente con el
creador transacción.
C. Una pista de auditoría electrónica para la rendición de cuentas y el seguimiento.
D. Operaciones de reconocimiento recibidas en el registro de los mensajes EDI
enviados.
65. Una utilidad está disponible para actualizar las tablas críticas en caso de
inconsistencia de datos. Esta utilidad se puede ejecutar en el símbolo del sistema
operativo o como una de las opciones de menú, en una aplicación. El mejor control
para mitigar el riesgo de manipulación no autorizada de datos es:
A. eliminar el software de utilidad e instalarlo cuando sea necesario.
B. proporcionar acceso a servicios públicos en base a la necesidad de usar.
C. proporcionar acceso a la utilidad de gestión de usuarios
D. definir el acceso de manera que la utilidad sólo puede ser ejecutado en la opción de
menú.
Respuesta: B
Software de utilidad en este caso es un programa de corrección de datos para corregir
cualquier inconsistencia en los datos. Sin embargo, esta utilidad se puede utilizar para
sobre-paseo actualización incorrecta de las tablas directamente. Por lo tanto, el acceso a
esta utilidad debe restringirse en base a la necesidad de utilizar y de un registro se debe
generar de forma automática cada vez que se ejecuta esta utilidad. La alta dirección
debe revisar este registro periódicamente. Eliminación de la utilidad e instalarlo cuando
sea necesario puede no ser factible en la práctica ya que no habría tiempo de retardo. El
acceso a los servicios públicos no debe ser proporcionado a la gestión de usuarios.
Definición de acceso para que la utilidad se pueda ejecutar en una opción de menú
puede no generar un registro.
66. Al llevar a cabo una revisión de proceso de reingeniería de negocios, un auditor
encontró que un control preventivo clave había sido retirado. En este caso, el
auditor de SI debe:
A. informar a la gestión del hallazgo y determinar si la administración está dispuesta a
aceptar el potencial riesgo importante de no tener que prevenir control.
B. determinar si un control detective ha reemplazado el control preventivo durante el
proceso y si es así, no informa de la eliminación del control preventivo.
C. recomendamos que éste y todos los procedimientos de control que existían antes de
que se rediseñó el proceso se incluirán en el nuevo proceso.
D. desarrollar un enfoque de auditoría continua para controlar los efectos de la
eliminación del control preventivo.
Respuesta: A
La opción A es la mejor respuesta. La gestión debe ser informada inmediatamente para
determinar si están dispuestos a aceptar el potencial riesgo importante de no tener ese
control preventivo en el lugar. La existencia de un control de detective en lugar de un
control preventivo por lo general aumenta los riesgos que puede ocurrir un problema
material. A menudo, durante un BPR muchos controles no valor agregado serán
eliminados. Esto es bueno, a menos que aumenten el negocio y los riesgos financieros.
El auditor puede desear supervisar o recomendar que la gestión de supervisar el nuevo
proceso, pero esto deba hacerse sólo después de la administración ha sido informado y
acepta el riesgo de no tener el control preventivo en el lugar.
67. ¿Cuál de los siguientes es un objetivo de control de salida?
A. Mantenimiento de registros de lotes precisos
B. Cumplimiento del procesamiento por lotes
C. contabilidad apropiada para los rechazos y excepciones
D. Autorización de cambios de archivos
Respuesta: C
Excepciones y rechazos son productos de salida que deben tenerse en cuenta por los
controles de salida adecuados. Las opciones A, B y D son los objetivos de control de
entrada.
68. En un sistema que registra todas las cuentas por cobrar de una empresa, las
cuentas por cobrar se publican a diario. Cuál de las siguientes sería asegurar que
los saldos de cuentas por cobrar son inalterada entre publicaciones?
A. Gama de Cheques
B. Conteos de Registro
C. secuencia de verificación
D. Run-to-run totales de control
Respuesta: D
Run-to-run totales de control son los totales de los campos clave - en este caso, el total
de los saldos a cobrar - tomar cuando se publican las cuentas por cobrar. Si los totales se
calculan y se comparan con saldo anterior, esto sería detectar alteraciones entre
publicaciones. Ambos recuentos de registros y secuencia de verificación sólo se
detectarían registros faltantes. Ellos no se detectan situaciones en las que se alteran los
registros, pero el número de registros no se han modificado. Cheques Range sólo se
detectan cuando los saldos son fuera de un rango de valores predeterminado y no
cambios en los saldos dentro de esos rangos.
69. ¿Cuál de los siguientes es el tema más importante para el auditor en un proceso
de reingeniería de negocios del proyecto (BPR) sería?
A. La pérdida de la gerencia media, que a menudo es el resultado de un proyecto BPR
B. Que los controles se dan generalmente baja prioridad en un proyecto de BPR
C. El considerable impacto negativo que la protección de la información podría tener en
BPR
D. El riesgo de fracaso debido a la gran magnitud de la tarea por lo general realizado en
un proyecto de BPR
Respuesta: B
Los controles deben ser dados de alta prioridad durante un proyecto de BPR, por lo
tanto, esto sería una preocupación para el auditor de si no se consideran adecuadamente
por la dirección. El hecho de que los mandos medios se pierde, como se indica en la
opción A, no es necesariamente un problema, siempre y cuando los controles están en su
lugar. Las opciones C y D no tienen ninguna relevancia para un proyecto de BPR.
70. Para cumplir con criterios previamente definidos, cuál de las siguientes técnicas
de auditoría continua sería mejor identificar transacciones para auditar?
A. Sistemas de Control de archivos de Revisión de Auditoría y Módulos de auditoría
incorporado (BUFANDA / EAM)
B. Simulación continua e intermitente (CIS)
C. Instalaciones de Prueba Integrada (ITF)
D. ganchos de auditoría
Respuesta: B
Simulación continua e intermitente (CIS) es un conjunto moderadamente compleja de
programas que durante un proceso de ejecución de una transacción, simula la ejecución
de la instrucción de su aplicación. A medida que se introduce cada transacción, el
simulador decide si la transacción cumple con ciertos criterios predeterminados y si es
así, audita la transacción. Si no, el simulador de espera hasta que se encuentra con la
siguiente transacción que cumple los criterios. Ganchos Auditorías que son de baja
complejidad se centran en las condiciones específicas en lugar de criterios detallados en
la identificación de las transacciones para su revisión. ITF es incorrecto debido a que su
atención se centra en la prueba frente a datos en tiempo real. Y el foco BUFANDA /
EAM está en los controles frente a los datos.
71. En un enfoque de auditoría basado en el riesgo, un auditor de SI, además de los
riesgos, serían influenciados por:
A. la disponibilidad de CAAT.
B. gestión de representación
C. estructura organizativa y las responsabilidades del trabajo.
D. la existencia de controles internos y operativos
Respuesta: D
La existencia de controles internos y operativos tendrá una influencia sobre la posición
del auditor de la auditoría. En un enfoque basado en el riesgo que el auditor no es sólo
un partido basado en el riesgo, sino también en los controles internos y operativos, así
como el conocimiento de la empresa y el negocio. Este tipo de decisión de evaluación
del riesgo puede ayudar a relacionar el análisis de costo-beneficio del control para el
riesgo conocido, permitiendo opciones prácticas. La naturaleza de las técnicas de
análisis disponibles y las representaciones de la administración, tiene poco impacto en
el enfoque de auditoría basado en el riesgo. Aunque la estructura y responsabilidades
organizacionales de trabajo deben ser consideradas, no se consideran directamente a
menos de que afecten a los controles internos y operativos.
72. La medida en que se recogerán datos durante una auditoría de SI debe
determinar, en base a la:
A. disponibilidad de información crítica y necesaria.
B. La familiaridad de auditor con las circunstancias.
C. La capacidad de auditado para encontrar las pruebas pertinentes.
D. propósito y alcance de la auditoría.
Respuesta: D
El grado en el que se recogerán los datos durante una auditoría de SI debe estar
relacionado directamente con el alcance y el objetivo de la auditoría. Una auditoría con
un propósito limitado y alcance resultaría muy probablemente en menos de recopilación
de datos, que una auditoría con un propósito y alcance más amplio. El alcance de una
auditoría de SI no debe verse limitada por la facilidad de obtener la información o por la
familiaridad del auditor con el área que está siendo auditada. Recoger toda la evidencia
requerida es un elemento necesario de una auditoría IS y el alcance de la auditoría no
debe estar limitado por la capacidad de la entidad auditada para encontrar las pruebas
pertinentes.
73. La principal ventaja de un enfoque de auditoría continua es que:
A. no requiere un auditor de reunir pruebas sobre la fiabilidad del sistema, mientras que
el procesamiento se lleva a cabo.
B. requiere que el auditor de la revisión y seguimiento de inmediato en toda la
información recopilada.
C. puede mejorar la seguridad del sistema cuando se utiliza en entornos de tiempo
compartido que procesan un gran número de transacciones
D. no depende de la complejidad de los sistemas informáticos de una organización.
Respuesta: C
El uso de técnicas de auditoría continua, en la actualidad puede mejorar la seguridad del
sistema cuando se utiliza en entornos de tiempo compartido que procesan un gran
número de transacciones, pero dejan un rastro de papel escaso. La opción A es
incorrecta, ya que el enfoque de auditoría continua a menudo requiere un auditor de
reunir pruebas sobre la fiabilidad del sistema, mientras que el procesamiento se lleva a
cabo. La opción B es incorrecta, ya que un auditor normalmente revisaría y seguimiento
solamente en deficiencias materiales o errores detectados. La opción D es incorrecta ya
que el uso de técnicas de auditoría continua no depende de la complejidad de los
sistemas informáticos de una organización.
74. ¿Cuál de los siguientes controles de entrada de datos proporciona la MAYOR
seguridad que los datos se introduzcan correctamente?
A. Usando la verificación llave
B. La segregación de la función de entrada de datos de entrada de datos de verificación.
C. El mantenimiento de un registro / registro que detalla la hora, fecha, iniciales del
empleado / id de usuario y progreso de varios preparación de datos y tareas de
verificación.
D. Adición de dígitos de control.
Respuesta: A
Verificación de clave o uno-a-uno la verificación producirá el mayor grado de confianza
de que los datos introducidos son libres de errores. Sin embargo, esto podría ser poco
práctico para grandes cantidades de datos. La segregación de la función de entrada de
datos de verificación de la entrada de datos es un control de entrada de datos adicional,
pero no se refiere a la precisión. El mantenimiento de un registro / registro que detalla la
hora, fecha, iniciales del empleado / ID de usuario y el progreso de diversas tareas de
preparación de datos y verificación, proporciona una pista de auditoría. Un dígito de
control se añade a los datos para asegurar que los datos originales no han sido
alterados. Si un dígito de control se teclea mal, esto llevaría a aceptar los datos
incorrectos, sino que sólo se aplican a los elementos de datos que tienen un dígito de
control.
Software de monitoreo
75. La capacidad se utiliza para asegurar:
A. el máximo uso de la capacidad disponible.
B. que las futuras adquisiciones responden a las necesidades de los usuarios.
C. el uso simultáneo por un gran número de usuarios.
D. continuidad de las operaciones eficientes
Respuesta: D
Software de monitoreo de capacidad muestra el uso real de los sistemas en línea frente a
su capacidad máxima. El objetivo es permitir que el personal de soporte de software
para asegurar que la operación eficiente, en la forma de los tiempos de respuesta, se
mantiene en el caso de que utilice comienza a acercarse a la capacidad máxima
disponible. Sistemas Nunca se debe permitir operar a su máxima capacidad. Software de
monitoreo tiene por objeto impedir esto. Aunque los informes de software pueden ser
utilizados para apoyar un caso de negocio para las adquisiciones futuras, no sería
proporcionar información sobre el efecto de las necesidades de los usuarios y no
aseguraría el uso concurrente del sistema por los usuarios, que no sea para destacar los
niveles de acceso de los usuarios.
76. ¿Cuál de las siguientes exposiciones asociadas a la cola de impresión de los
informes sensibles para la impresión en línea sería un auditor de considerar como el más
serio?
A. Los datos sensibles pueden ser leídos por los operadores.
B. Los datos pueden ser modificados sin autorización.
C. Copias no autorizadas de informes se pueden imprimir
D. La salida puede ser perdido en caso de fallo del sistema.
Respuesta: C
A no ser controlada, la cola de impresión para la impresión en línea puede permitir
copias a imprimir. Los archivos de impresión es poco probable que esté disponible para
la lectura en línea por los operadores. Los datos sobre los archivos de cola no son más
fáciles de modificar sin la autoridad que cualquier otro archivo. Generalmente hay una
menor amenaza de acceso no autorizado a los informes confidenciales en caso de un
fallo del sistema.
77. ¿Cuál de los siguientes tipos de servidores de seguridad sería mejor proteger una red
de un ataque de Internet?
A. Proyectado subred firewall
B. Aplicación gateway de filtrado.
C. El filtrado de paquetes del router.
D. Puerta de entrada a nivel de Circuito.
Respuesta: A
Un firewall subred filtrada proporcionaría la mejor protección. El router de detección
puede ser un router comercial o un nodo con capacidades de enrutamiento y la
capacidad de permitir o evitar el tráfico entre redes o nodos basados en direcciones,
puertos, protocolos, interfaces, etc. pasarelas de nivel de aplicación son mediadores
entre dos entidades que quieren comunicarse, también conocido como puertas de acceso
de proxy.El nivel de aplicación (apoderado) trabaja a nivel de aplicación, no sólo a nivel
de paquete. La proyección controla a nivel de paquete, direcciones, puertos, etc, pero no
ve el contenido del paquete. Un router el filtrado de paquetes examina el encabezado de
cada paquete o los datos que viajan entre Internet y la red corporativa.
78. La aplicación de una fecha de retención sobre un archivo se asegurará de que:
A. los datos no se pueden leer hasta la fecha se establece.
B. datos no se borrará antes de esa fecha
C. copias de seguridad no se conservan después de esa fecha.
D. se diferencian los conjuntos de datos que tienen el mismo nombre.
Respuesta: B
La fecha de retención se asegurará de que un archivo no puede ser sobrescrita antes ha
pasado esa fecha. La fecha de la retención no afectará la capacidad de leer el archivo. Se
esperaría que las copias de seguridad para tener una fecha de retención diferente y, por
tanto, bien pueden ser retenidos después de que el archivo ha sido sobrescrito. La fecha
de creación, no la fecha de retención, se diferenciará archivos con el mismo nombre.
79. Una firma digital contiene un resumen de mensaje a:
A. mostrar si el mensaje ha sido alterado después de la transmisión
B. definir el algoritmo de cifrado.
C. confirmar la identidad del emisor.
D. habilitar la transmisión de mensaje en un formato digital.
Respuesta: A
El resumen del mensaje se calcula y se incluye en una firma digital para probar que el
mensaje no ha sido alterado. Debe ser el mismo valor que un nuevo cálculo realizado
sobre recibo. No define el algoritmo o habilitar la transmisión en formato digital y no
tiene ningún efecto sobre la identidad del usuario, estando allí para asegurar la
integridad en lugar de identidad.
80. ¿Cuál de los siguientes sería el mejor método para asegurar que los campos críticos
en un registro maestro se han actualizado correctamente?
A. Campo revisado.
B. Control total.
C. Razonabilidad revisado.
D. Un informe de antes y después del mantenimiento
Respuesta: D
Un antes y después del informe de mantenimiento es la mejor respuesta porque una
revisión visual proporcionaría la verificación más positiva que la actualización fue
correcta.
81.-Un entorno TCP / basada en IP está expuesta a Internet.
¿Cuál de los siguientes mejor asegura que existen protocolos de cifrado y
autenticación completos para proteger la información mientras se transmite?
A. El trabajo se ha completado en el modo de túnel con seguridad IP utilizando los
servicios jerarquizados de encabezado de autenticación (AH) y la carga útil de
seguridad de encapsulación (ESP).
B. Una firma digital con RSA ha sido implementado.
C. Se utilizan certificados digitales con RSA.
D. El trabajo se está terminando en los servicios TCP.
RSPTA: A
El modo de túnel con seguridad IP proporciona cifrado y autenticación del paquete
IP completo. Para lograr esto, el AH (encabezado de autenticación) y ESP (que
encapsula la carga útil de seguridad) los servicios se pueden anidar. Las opciones
B y C proporcionan autenticación e integridad. Servicios TCP no proporcionan
cifrado y autenticación.
82.-Para evitar que los sistemas informáticos de una organización se convierta en
parte de un ataque distribuido de denegación de servicio, los paquetes IP que
contienen direcciones que se indican como enrutar puede aislarse por:
A. establecer el filtrado de tráfico saliente.
B. permitiendo el bloqueo de difusión.
C. limitando los servicios permitidos.
D. supervisión del rendimiento de la red.
RSPTA: A
Routers programadas con el filtrado de tráfico saliente, caen paquetes de salida
que contengan direcciones de otro que de la organización del usuario, incluidas las
direcciones de origen que no se pueden enrutar. Bloqueo de transmisión se puede
hacer por los routers de filtrado o firewalls. Cuando se programa, IP paquetes que
llegan desde Internet y el uso de una dirección que transmite a cada ordenador de
la red de la organización de destino puede ser disminuido.
Los cortafuegos y routers de filtrado pueden ser programados para limitar
servicios no permitidos por la política y puede ayudar a prevenir el uso de los
sistemas de la empresa.
Sin embargo, esto no va a aislar los paquetes que no se pueden enrutar.
Supervisión del rendimiento de la red es una manera de controlar el rendimiento
del sistema de intrusiones potenciales sobre una base a tiempo real y podría
ayudar a identificar a los volúmenes de tráfico inusuales.
83.-Un auditor haciendo pruebas de penetración durante una auditoría de las
conexiones a Internet sería:
A. evaluar configuraciones.
B. examinar la configuración de seguridad.
C. asegurar el software de detección de virus está en uso.
D. utilizar las herramientas y técnicas que están disponibles a un usuario
RSPTA: D
Las pruebas de penetración es una técnica utilizada para imitar un hacker
experimentado atacar un sitio en vivo mediante el uso de herramientas y técnicas
disponibles para un hacker. Las otras opciones son procedimientos que un auditor
consideraría empresa durante una auditoría de las conexiones a Internet, pero no
son aspectos de las técnicas de pruebas de penetración.
84.-Un auditor de realizar una revisión de control de acceso a las
telecomunicaciones deben ocupa principalmente de la:
A. mantenimiento de registros de acceso de uso de varios recursos del sistema.
B. autorización y autenticación del usuario antes de conceder el acceso a los
recursos del sistema.
C. la protección adecuada de los datos almacenados en los servidores mediante
cifrado u otros medios.
D. sistema de rendición de cuentas y la capacidad de identificar las terminales para
acceder a los recursos del sistema.
85.-Una organización está considerando la conexión de un sistema basado en PC
crítico para la Internet.
¿Cuál de las siguientes sería proporcionar la mejor protección contra la piratería?
A. Una puerta de enlace de nivel de aplicación
B. Un servidor de acceso remoto
C. Un servidor proxy
D. escaneo de puertos
RSPTA: A
Una puerta de enlace de nivel de aplicación es la mejor manera de protegerse
contra la piratería, ya que puede definir con detalle las reglas que describen el tipo
de usuario o la conexión que está o no está permitido. Se analiza en detalle cada
paquete, no sólo en capas uno al cuatro del modelo OSI, sino también capas de
cinco a siete, lo que significa que revisa los comandos de cada protocolo de nivel
superior (HTTP, FTP, SNMP, etc.) Para un control remoto servidor de acceso hay
un dispositivo (servidor) que pide nombre de usuario y contraseñas antes de entrar
en la red. Esto es bueno cuando se accede a las redes privadas, pero se puede
asignar o escaneado de la exposición de seguridad la creación de Internet. Los
servidores proxy pueden proporcionar una protección basada en la dirección IP y
puertos.
Sin embargo, se necesita una persona que realmente sabe cómo hacer esto, y
segundo las aplicaciones pueden utilizar puertos diferentes para las diferentes
secciones de su programa. Escaneo de puertos funciona cuando hay una tarea muy
específica para hacerlo, pero no cuando se trata de controlar lo que viene a través
de Internet (o cuando todos los puertos disponibles necesidad de controlar de
alguna manera). Por ejemplo, el puerto de "Ping" (petición de eco) podría ser
bloqueado y las direcciones IP estaría disponible para la aplicación y la avegación,
pero no quiso responder a "Ping".
86.- Si una base de datos se restaura utilizando de imagen anterior vertederos,
¿donde se debe reiniciar el proceso después de una interrupción?
A. Antes de la última transacción
B. Después de la última transacción
C. La primera transacción después de la última punto de control
D. La última transacción antes del último puesto de control
RSPTA: A
Si antes se utilizan imágenes, la última transacción en el vertedero no han
actualizado la base de datos antes de que el vertedero está tomando. La última
transacción no han actualizado la base de datos y debe ser reprocesado. Los
puestos de control del programa son irrelevantes en esta situación.
87.-¿Cuál de las siguientes es una práctica que debe ser incorporado en el plan
para probar los procedimientos de recuperación de desastres?
A. Invitar a la participación del cliente.
B. Involucrar a todo el personal técnico.
C. Gire gerentes de recuperación.
D. Instale copia de seguridad almacenado localmente.
RSPTA: C
Gestores de recuperación deben ser rotados para garantizar la experiencia del plan
de recuperación se extiende.
Los clientes pueden estar implicados pero no necesariamente en todos los casos. No
todo el personal técnico debe estar involucrado en cada prueba. Copia de
seguridad remota o fuera de las instalaciones se debe utilizar siempre.
88.-Una gran cadena de tiendas con EFT en dispositivos de punto de venta tiene un
procesador central de comunicaciones para conectar a la red bancaria. ¿Cuál de
los siguientes es el plan de recuperación de desastres MEJOR para el procesador
de comunicaciones?
A. Almacenamiento fuera del sitio de las copias de seguridad todos los días
B. Procesador en el sitio en espera Alternativa.
C. La instalación de enlaces de comunicación duplex
D. Alternativa procesador de reserva en otro nodo de red
RSPTA: D
Tener un procesador de reserva alternativa en otro nodo de red sería la mejor. La
falta de disponibilidad del procesador de comunicaciones centrales interrumpiría
todo el acceso a la red bancaria que resulta en la interrupción de las operaciones de
todas las tiendas. Esto podría deberse a la falta de equipo, el poder o las
comunicaciones. Almacenamiento fuera del sitio de las copias de seguridad no
ayudaría ya EFT tiende a ser un proceso en línea y fuera de las instalaciones de
almacenamiento no reemplazarán el procesador disfuncional. La provisión de un
sitio procesador alternativo estaría bien si se tratara de un problema del equipo,
pero no sería de ayuda si el apagón fue causado por el poder, por ejemplo. La
instalación de enlaces de comunicación dúplex sería más adecuado si fuera sólo el
enlace de comunicación que ha fallado.
89. ¿Cuál de las siguientes es una característica de la tecnología orientada a objetos que
permite un mayor grado de seguridad sobre los datos?
A. La herencia.
B. Almacenamiento dinámico.
C. Encapsulación. *
D. El polimorfismo
90. En la aplicación de un paquete de software de aplicación, ¿Cuál de las siguientes
presenta el riesgo MAYOR?
A. Versiones de software múltiples incontrolados.
B. Programas de código que no están sincronizados con el código objeto.
C. Parámetros incorrectamente establecidos. *
D. Los errores de programación.
91. ¿Cuál de los siguientes controles serían más eficaces para garantizar que el código
fuente de la producción y el código objeto se sincronizan?
A. Suelte para liberar informes de origen y la comparación de objetos.
B. Software de control de biblioteca para restringir los cambios en el código fuente.
C. Restringir el acceso al código fuente y el código objeto.
D. Fecha y hora de sello de los comentarios de la fuente y código objeto. *
92. Durante una revisión posterior a la implementación de un sistema de gestión de
recursos empresariales, un auditor de SI de realizaría:
A.- Revise la configuración de control de acceso. *
B.- Evalúe las pruebas de Interfaz.
C.- Revise la documentación detallada del diseño.
D.- Evalúe las pruebas del sistema.
93. ¿Cuál de los siguientes tipos de control está diseñado para proporcionar la capacidad
de verificar los datos y valores de registro a través de las etapas de procesamiento de la
aplicación?
A.- Control por rangos.
B.- Gestión y ejecución total. *
C.- Controles de límite en cantidades calculadas.
D.- informes de excepción.
94. El mejor método para probar la exactitud de un cálculo de un sistema de impuestos
es a través de:
A. Revisión visual detallada y análisis del código fuente de los programas de cálculo.
B. Recreando la lógica del programa utilizando el software de auditoría
generalizado para calcular los totales mensuales. *
C. Preparando las transacciones simuladas para procesar y comparar los resultados
con los resultados predeterminados.
D. Diagramas de flujo automático y el análisis del código fuente de los programas de
cálculo.
95. Gestión IS recientemente ha informado al auditor IS de su decisión de desactivar
ciertos controles de integridad referencial en el sistema de nómina para proporcionar a
los usuarios un generador de informes más rápido. Lo más probable es aumentar el
riesgo de:
A. La entrada de datos de usuarios no autorizados.
B. Un empleado no existente siendo pagado. *
C. Un empleado recibiendo un aumento no autorizado.
D. Duplicar la entrada de datos por los usuarios autorizados.
96. ¿Cuál de los siguientes pares de funciones no deberían combinarse para
proporcionar adecuada separación de funciones?
A. Bibliotecario de cinta y operador de computadora.
B. Programación de aplicaciones y entrada de datos. *
C. Analista de sistemas y administrador de base de datos.
D. Administrador de seguridad y garantía de calidad.
97. Un IS auditor quien está revisando los manuales de ejecución de aplicaciones esperaría que contengan:
A. Detalles de documentos de origen
B. Códigos de error y sus acciones de recuperación
C. Diagramas de flujo de la lógica del programa y archivos definidos
D. Cambios en los registros para el código fuente de la aplicación.
98. ¿Cuál de las siguientes funciones de SI puede ser realizada por el mismo individuo,
sin comprometer el control o violar la separación de funciones?
A. Analista de Control de Trabajo y Programador de Aplicaciones.
B. Operador Principal y Programador de Sistemas.
C. Administrador de control de la calidad y el(los) Cambio/Problemas.
D. Programador de Sistemas y Aplicaciones.
99. ¿Cuál de las siguientes es la función más importante a realizar por la administración
de TI en un entorno externalizado?
A. Asegurar que las facturas se pagan al proveedor
B. Participar en el diseño de sistemas con el proveedor
C. La renegociación de las tarifas del proveedor
D. Supervisión del rendimiento del proveedor de outsourcing
100. Una organización ha delegado la red de trabajo y el soporte de escritorio. Aunque
la relación ha sido un éxito, sigue habiendo un problema de conectividad riesgoso.
¿Cuál de los siguientes controles debe realizarse primero para asegurar la organización
mitiga razonablemente estos posibles riesgos?
A. Programa de defensa de Red
B. Encriptación / autenticación
C. notificación adecuada entre las organizaciones
D. Definición adecuada en relación contractual