C.I.S.A.

Un establecimiento minorista ha introducido etiquetas de identificación por radiofrecuencia (RFID) para crear números de serie únicos para todos los productos. ¿Cuál de las siguientes es la principal preocupación asociada a esta iniciativa?. la longitud de onda puede ser absorbida por el cuerpo humano. la RFID elimina la lectura en la linea de vision. cuestione de privacidad. Las etiqueta RFID no son extraibles.

¿Cuál de los siguientes procesos se realiza durante la fase de diseño del modelo de ciclo de vida de desarrollo de sistemas (SDLC)?. programar y probar el nuevo sistema. las pruebas verifican y validan lo que se ha desarrollado. desarrollar planes de pruebas. definir la necesidad que requiere ser resuelta y asignarla a los principales requisitos de la solucion. procedimiento de referencia para evitar el aumento del alcance.

El paso inicial para establecer un programa de seguridad de la información es el: realizacion de una revision exhautiva de los controles de seguridad pr parte del auditor de TI. desarrollo y aplicacion de un manual de normas de seguridad de la informacion. adopcion de una declaracion de politica de seguridad de la informacion de la empresa. compra de software de control de acceso de seguridad.

Un ejemplo de beneficio directo derivado de una propuesta de inversión empresarial relacionada con las TI es: mejorar la reputacion. el uso de las nuevas tecnologias. mejora de la norma del personal. una mayor penetracion en el mercado.

La ventaja específica de las pruebas de caja blanca es que: garantizar la eficacia operativa funcional de un programa sin tener en cuenta la estructura. examina la funcionalidad de un programa ejecutandolo en un entorno virtual o estrictamente controlado cona cceso restringido al sistema anfitricion. verificar que un programa puede funcionar correctamente con otras partes del sistema. determina la pricision de los procedimientos o las condiciones de las rutas logicas especifica de un prorama.

¿Cuál de los siguientes tipos de pruebas determinaría si un sistema nuevo o modificado puede funcionar en su entorno de destino sin afectar negativamente a otros sistemas existentes?. pruebas interfaz/integracion. pruebas de socializacion. pruebas paralelas. pruebas piloto.

¿Qué tipo(s) de cortafuegos proporciona(n) el mayor grado de protección y control porque ambas tecnologías de cortafuegos inspeccionan las siete capas OSI del tráfico de red?. una pasalera a nivel de circuito. un cortafuegos de filtrado de paquete de primera generacion. una pasalera de capa de aplicacion o un cortafuego proxy, pero no cortafuego de inspeccion de estado. una pasalera de capa de aplicacion o cortafuegos de proxy y cortafuego de inspeccion de estado.

¿Por qué es importante una cláusula para exigir la custodia del código fuente en un acuerdo de proveedor de aplicaciones?. segregar los entornos de desarrollo de sistema y los entornos reales. proteger a la organizacion de los conflictos de derechos de autor. garantizar que haya suficiente codigo disponible cuando se necesite. para garantizar que el codigo fuente siga estando disponible incluso si el proveedor dela aplicacion quiebra.

Al revisar el plan estratégico de TI de una organización, un auditor de SI debe esperar encontrar: una lista de proveedores autorizados de recursos humanos contractuales de TI. una evaluacion de la adecuacion de la cartera de aplicaciones de la organizacion a los objetivos empresariales. acciones para reducir el coste de adquisición. una descripcionde la arquitectura tecnica de la seguridad.

Un auditor de SI está revisando un proyecto que utiliza un enfoque de desarrollo de software ágil. ¿Cuál de los siguientes puntos debería esperar encontrar el auditor de SI?. revisiones posteriores a la ejecución que identifican las lecciones aprendidas para su uso futuro en el proyecto. supervisión periódica del progreso de las tareas con respectoal calendario. uso extensivo de herramientas de desarrollo de software para maximizar la productividad del equipo. utilizacion de un modelo de madurez basado en procesos, como el modelo de madurez de capacidades (CMM).

cual de los siguientes puntos es mas critico para la implementación y el mantenimiento exitoso de una política. apoyo y aprobación de una dirección para la aplicación y el mantenimiento de una política de seguridad. aplicación seguimiento y cumplimiento estrictos de las normas por parte del responsable de seguridad mediante un software de control de acceso. aplicación de las normas de seguridad mediante la adopción de medidas punitivas en caso de infracción de normas de seguridad. asimilación del marco y la intensión de una política de seguridad escrita por parte de todas las partes interesadas.

Al revisar la cola de impresión de los sistemas, ¿a qué auditor de SI le preocupa MÁS cuál de las siguientes vulnerabilidades?. la posibilidad de editar sin la autorizacion las copias de los informes. la posibilidad de que borren las copias de los informes sin autorizacion. la posibilidad de modificar sin autorizacion las copias de los informes. la posibilidad de iprimir copias de informes sin autorizacion.

Para garantizar que una organización cumple con los requisitos de privacidad, un auditor de SI debe revisar PRIMERO: la infraestructura informática. politicas normas y procedimientos de la organización. requisitos legales reglamentarios. el cumplimiento de las políticas normas y procedimientos de la organización.

¿Cuál de los siguientes es el paso más fundamental para prevenir los ataques de virus?. implantacion de software de proteccion de antivirus en los ordenadores de sobremesa de los usuarios. implantacion de comprobacion de contenido antivirus en todas las pasarelas de la red a internet. inoculación de sistemas con códigos antivirus. adopcion y comunicacion de una politica antivirus global.

Un auditor de SI debe revisar cuidadosamente los requisitos funcionales en un proyecto de desarrollo de sistemas para asegurarse de que el proyecto está diseñado para: ser culturalmente factible. aplicar la seguridad de los datos. cumplir los objetivos empresariales. ser económicamente viable.

¿Qué se utiliza para desarrollar sistemas estratégicamente importantes con mayor rapidez, reducir los costes de desarrollo y mantener una alta calidad? Elija la MEJOR respuesta. arboles de desicion. DANT. PERT. Desarrolloo rapido de aplicaciones (RAD).

La dirección de una organización ha decidido establecer un programa de concienciación sobre la seguridad. ¿Cuál de los siguientes elementos es el que MÁS probablemente forme parte del programa?. Formacion periodica para todos los empleados actuales y nuevos. obligación de utilizar contrasenas para acceder a todos los programas informaticos. instalacion de un sistema eficaz de registro de usurios para seguir las accesiones de cada uno de ellos. utilizacion de un sistema de deteccion de intruso para informar de los incidentes.

¿Cuál de las siguientes es la razón MÁS probable por la que los sistemas de correo electrónico se han convertido en una fuente útil de pruebas para los litigios?. dentro de la empresa una politica clara de uso del correo electronico garantiza la disponiblidad de pruebas. los controles de acceso establecen la responsabilidad de la actividad del correo electronico. se mantienen disponibles varios ciclos de archivos de copia de seguridad. la clasificación de los datos regula que información debe comunicarse por correo electrónico.

¿Cuál de los siguientes métodos de extinción de incendios se considera más respetuoso con el medio ambiente?. aspersores de tubería seca. gas halon. aspersores de diluvio. Rociadores de tubería húmeda.

Al final de la fase de prueba del desarrollo del software, un auditor de SI observa que no se ha corregido un error intermitente del software. No se ha tomado ninguna medida para resolver el error. El auditor de SI debería: ignorar el error, ya que no es posible obtener pruebas objetivas del error de software. recomiendan que la resolución del problema se eleve. intento de resolver el problema. informar del error como un hallazgo y dejar la exploración posterior a la discreción del auditado.

Un enfoque descendente en el desarrollo de las políticas operativas ayudará a garantizar: que se revisen periódicamente. que se apliquen como parte del a evaluación. cumplimiento de todas las políticas. que se coherentes en toda la organización.

¿Cuál de las siguientes es la función MÁS importante que debe realizar la dirección del SI cuando se ha externalizado un servicio?. renegociar los honorarios del proveedor. garantizar el pago de las facturas al proveedor. participar en el diseño de sistema con el proveedor. supervision del rendimiento del proveedor de servicios externos.

¿Cuál es un control eficaz para conceder acceso temporal a los proveedores y al personal de apoyo externo? Elija la MEJOR respuesta. crear cuentas de usuario que caduque automáticamente en una fecha predeterminada. creación de una única cuenta compartida de administración del proveedor sobre la base del acceso con menos privilegios. crear cuentas de usuarios que restrinjan el acceso a determinadas horas del dia. creación de cuentas de invitados permanentemente para uso temporal.

Una de las ventajas de la arquitectura de sistemas abiertos es que: facilita la integración de componentes propios. sera una base para los descuentos por volúmenes de los reveedores. permite conseguir mas economías de escala para los equipos. facilita la interoperabilidad.

Al realizar una revisión de la estructura de un sistema de transferencia electrónica de fondos (TEF), un auditor de SI observa que la infraestructura tecnológica se basa en un esquema de procesamiento centralizado que ha sido subcontratado a un proveedor de otro país. Basándose en esta información, ¿cuál de las siguientes conclusiones debería ser la principal preocupación del auditor de SI?. podría haber diferente normas de auditoria. tener un proveedor en el extranjero provocara costes escesivos en facturas auditorias. podria haber una pregunta sobre la jurisdiccion legal. el proceso de auditoria será difícil debido a la distancia.

¿Cuál de los siguientes es el paso inicial para crear una política de firewall?. un análisis coste-beneficio de los métodos para asegurar las aplicaciones. identificación de las vulnerabilidades asociadas a las aplicaciones de red a las que accede externamente. identificación de las aplicaciones de red a las que se accede externamente. creación de una matriz de trafico de aplicaciones.

¿Cuál de las siguientes opciones es la que MEJOR apoya la priorización de nuevos proyectos de TI?. analisis de la cartera de inversiones. evaluación del riesgo empresarial. auditoria de sistemas de información. autoevaluación del control interno (CSA).

¿Qué determina la fuerza de una clave secreta dentro de un criptosistema de clave simétrica?. una combinación de la longitud de la clave, el grado de permutación y la complejidad del algoritmo de cifrado de datos que utiliza la clave. una combinacion de la longitud de clave , los vactores de entrada iniciales y la complejidad del algoritmo de cifrado de datos que utiliza la clave. vectore de entrada iniciales y la complejidad del algoritmo de cifrado de datos que utiliza la clave. una combinacion de la longitud de la clave y la complejidad del algoritmo de cifrado de datos que utiliza la clave.

¿Qué deben utilizar las pruebas de regresión para obtener conclusiones precisas sobre los efectos de cambios o correcciones en un programa, y asegurar que esos cambios y correcciones no han introducido nuevos errores?. datos creados de forma independiente. datos de pruebas anteriores. datos en directo. datos artificiales.

¿Cuál de las siguientes opciones utiliza un prototipo que puede actualizarse continuamente para satisfacer los cambiantes requisitos de los usuarios o de la empresa?. PERT. analisis de puntos de función (FPA). desarrollo rápido de aplicaciones (RAD). GANT.

Los entornos de prueba y de desarrollo deben estar separados. ¿Verdadero o falso?. false. verdadero.

Las ediciones de datos se implementan antes del procesamiento y se consideran ¿cuál de las siguientes? Elija la MEJOR respuesta. controles de integridad correctivo. controles de integridad disuasorio. controles de integridad preventivos. controles de integridad de los detectives.

Para ayudar a la dirección a lograr la alineación de las TI y el negocio, un auditor de SI debería recomendar el uso de: un analisis de impacto empresarial. autoevaluaciones de control. un cuadro de mando integral de TI. reingenieria de procesos de negocio.

Durante una revisión posterior a la implantación de un sistema de gestión de recursos empresariales, lo más probable es que un auditor de SI. revisar la documentación detallada del diseño. evaluar las pruebas del sistema. revisar la configuración del control de acceso. evaluar las pruebas de interfaz.

Desde el punto de vista de la gestión de riesgos, el MEJOR enfoque a la hora de implantar una infraestructura informática grande y compleja es: prototipos y un despliegue en una sola fase. un plan de despliegue basado en fases secuenciales. para simular la nueva infraestructura antes de su despliegue. un despliegue de big bang después de la prueba de concepto.

¿Cuál es la principal preocupación en materia de seguridad en los entornos EDI? Elija la MEJOR respuesta. autorizacion de la transaccion. precision de las transacciones. completitud de las transacciones. authenticacion de transacciones.

Un auditor de SI está utilizando una muestra estadística para inventariar la biblioteca de cintas. ¿Qué tipo de prueba se consideraría?. auditoria continua. sustantivo. integrado. cumplimiento.

Durante la fase de prueba del sistema de un proyecto de desarrollo de aplicaciones, el auditor de SI debe revisar el: especificaciones del diseño conceptual. contrato con el proveedor. solicitudes de cambio de programa. informes de error.

Un auditor de SI debe esperar cuál de los siguientes elementos se incluye en la solicitud de propuesta (RFP) cuando el SI está adquiriendo servicios de un proveedor de servicios independiente (ISP)?. plan de reconversión. referencias de otros clientes. plantillas de acuerdos de nivel de servicio (SLA). Acuerdos de mantenimientos.

¿Cuándo deben considerarse los controles de las aplicaciones dentro del proceso de desarrollo del sistema?. después de la prueba del modulo de aplicacion. despues delas pruebas de los sistemas de aplicaciones. despues de las pruebas unitarias de la aplicación. tan pronto como sea posible , incluso en el desarrollo de las especificaciones funcionales del proyecto.

Al desarrollar una estrategia de auditoría basada en el riesgo, un auditor de SI debe realizar una evaluación del riesgo para asegurarse de que: es conveniente realizar un análisis de las deficiencias. los controles necesarios para mitigar los riesgos. se consideran los riesgos de auditoria. se identifican las vulnerabilidades y las amenazas.

¿Cuál de los siguientes es el objetivo dominante de BCP y DRP?. proteger la vida humana. para eliminar el riesgo y el impacto de una interrupción de la actividad. para mitigar el riesgo y el impacto de una interrupción de la actividad. transferir el riesgo y el impacto de una interrupción de la actividad.

Tras la fusión de dos organizaciones, múltiples aplicaciones heredadas desarrolladas por ambas empresas van a ser sustituidas por una nueva plataforma común. ¿Cuál de los siguientes sería el mayor riesgo?. la nueva plataforma obligara a las áreas de negocio de ambas organizaciones a cambiar sus procesos de trabajo, lo que supondrá amplias necesidades de formación. los recursos de cada una de las organizaciones se asignan de forma ineficiente mientras se familiarizan con los sistemas heredados de la otra empresa. el esfuerzo de sustitución consiste en varios proyectos impedientes sin integrar la asignación de recursos en un enfoque de gestión de cartera. la gestión del proyecto y los informes de progreso se combinan en una oficina de gestión de proyectos dirigida por consultores externo.

La principal ventaja de un enfoque de desarrollo basado en componentes es la: soporte de múltiples entornos de desarrollo. capacidad de gestionar una variedad ilimitada de tipos de datos. capacidad de respuesta alas exigencias de un entorno cambiante. disposición para modelar relaciones complejas.

Cuando una organización externaliza su función de seguridad de la información, ¿cuál de los siguientes elementos debe mantenerse en la organización?. aplicación de la política de seguridad de la empresa. definir la política de seguridad de la empresa. responsabilidad de la política de seguridad de la empresa. definición de procedimientos y directrices de seguridad.

Una carta de auditoría debería: documentar los procedimientos de auditoria diseñados para alcanzar los objetivos de auditoria previstos. esbozar la autoridad general , el alcance y las responsabilidades de la función de auditoria. ser dinámico y cambiar a menudo para coincidir con la naturaleza cambiante de la tecnología y la profesión de auditor. establecer claramente los objetivos de la auditoria y la delegacion de autoridad para mantenimiento y la revision de los controls internos.

¿Cuál de los siguientes puntos debería revisar un auditor de SI para determinar los permisos de usuario que se han concedido para un recurso en particular? Elija la MEJOR respuesta. registros de sistemas. registros de errores. lista de control de acceso (ACL). registro de aplicaciones.

¿Cuál es la razón más común para que los sistemas de información no satisfagan las necesidades de los usuarios? Elija la MEJOR respuesta. mala planificación estratégica. falta de financiación. participación inadecuada de los usuarios durante la definición de los requisitos del sistema. participación inadecuada de la alta dirección durante la definición de los requisitos del sistema.

En el contexto de una gobernanza eficaz de la seguridad de la información, el objetivo principal de la entrega de valor es: instituir una solución basada en normas. implantar una cultura de mejora continua. optimizar las inversiones en seguridad en apoyo de los objetivos empresariales. aplicar un conjunto estandar de practicas de seguridad.

¿Cuál de las siguientes opciones proporciona la MEJOR autenticación de factor único?. ficha. pin. contrasena. biometria.

Las organizaciones deben utilizar instalaciones de almacenamiento externas para mantener. integridad. confidencialidad. concurrencia. redundancia.

¿Cuál de los siguientes es un método de ataque pasivo utilizado por los intrusos para determinar las posibles vulnerabilidades de la red?. analisis de trafico. negacion de servicio distribuida (Dos). Denegacion de servicio (Dos). inundacion SYN.

Por encima de casi todas las demás preocupaciones, ¿qué es lo que suele tener un mayor impacto negativo en la implantación de un nuevo software de aplicación?. pruebas insuficientes de unidades modulares y sistemas. no realizar pruebas de aceptación del usuario. falta de documentacion del software y manuales de funcionamiento. falta de formacion de los uaurios del nuevo sistema.

Si se restaura una base de datos a partir de información respaldada antes de la última imagen del sistema, ¿cuál de las siguientes opciones se recomienda?. el sistema debe reiniciarse despues de la ultima transacción. el sistema debe reiniciarse en la primera transacción. el ssitema debe reiniciarse en la ultima transacción. el sistema debe reiniciarse antes dela ultima transacción.

Las instantáneas de la base de datos pueden proporcionar una excelente pista de auditoría para un auditor de SI. ¿Verdadero o falso?. verdadro. falso.

Un auditor de SI que revise un contrato de subcontratación de instalaciones de TI esperaría que definiera el: software de control de acceso. configuracion de hardware. metodologia de desarrollo. propiedad intelectual.

El almacenamiento de datos fuera del sitio debe mantenerse sincronizado cuando se prepara la recuperación de datos sensibles al tiempo, como los que resultan de cuál de los siguientes? Elija la MEJOR respuesta. tratamiento de las transacciones. informes de inventario. informacion financiera. informes de ventas.

En una organización en la que se ha definido una línea de base de seguridad de TI, un auditor de SI debe asegurarse en primer lugar: implementacion. documentacion. cumplimiento. suficiencia.

¿Cuál de las siguientes opciones perjudicaría la independencia de un equipo de garantía de calidad?. correcion de errores de codificacion durante el proceso de prueba. comprobacion de la hipotesis de ensayo. comprobación del código para garantizar una documentación adecuada. Garantizar el cumplimiento de métodos de desarrollo.

Los objetivos de control de TI son útiles para los auditores de SI, ya que proporcionan la base para entender el: las mejores practicas de control de la seguridad informatica pertinentes para una entidad especifica. políticas de seguridad. técnicas para asegurar la información. resultados deseados o propósitos de la aplicación de procedimientos de control específicos.

¿Cuándo deben prepararse los planes de pruebas para la aceptación del usuario? Elija la MEJOR respuesta. En la fase de diseno del proyecto de desarrollo de sistema. En la fase de desarrollo del proyecto de desarrollo de sistemas. En la fase de definición de requisitos del proyecto de desarrollo de sitema. En la fase de viabilidad del proyecto de desarrollo de sistema.

¿Para qué se utilizan principalmente los sistemas de detección de intrusos (IDS)?. para garantizar y prevenir los intentos de instruccion en una red. respuesta a incidentes forenses. para evitar los intentos de instrucción en una red. para identificar los intentos de instruccion en una red.

¿Cuál de los siguientes es un riesgo de implementación dentro del proceso de los sistemas de apoyo a la decisión?. incapacidad para especificar la finalidad y patrones de uso. dimensiones semiestructurales. cambios en los procesos de decision. control de gestión.

¿Qué se utiliza para medir y garantizar la correcta gestión de la capacidad de la red y la disponibilidad de los servicios? Elija la MEJOR respuesta. planificación estratégica de las ti. informes Syslog. herramientas de superacion del rendimiento de la red. redundancia de los componentes de la red.

Para minimizar los costes y mejorar los niveles de servicio, un subcontratista debe buscar cuál de las siguientes cláusulas contractuales?. frecuencias de actualización del sistema operativo y del hardware. sanciones por incumplimiento. cargos ligado a las métricas de los costes variables. primas de rendimiento por participación en los beneficios.

¿Cuál de las siguientes opciones debería recomendar un auditor de SI para reforzar la alineación de una cartera de proyectos de TI con las prioridades estratégicas de la organización?. considerar la satisfacción del usuario en los indicadores claves de rendimiento (KPI). definir un cuadro de mando integral (CMI) para medir el rendimiento. seleccionar los proyectos en función de lo beneficios y los riesgos de la empresa. modificar el progreso anual de definición de la cartera de proyecto.

¿Qué tipo de pruebas deben realizar los programadores tras cualquier cambio en una aplicación o sistema?. pruebas de módulos. pruebas unitarias. pruebas de regresion. pruebas unitarias de módulos y de regresión.

¿Qué tipo de sistema de extinción de incendios suprime el fuego a través del agua que se libera de una válvula principal para ser entregada a través de un sistema de tuberías secas instaladas en todas las instalaciones?. un sistema de tuberías húmedas. un sistema de rociadores de diluvio. un sistema de rociadores de halon. un sistema de rociadores de tubería seca.

¿Cuál de las siguientes es una ventaja de un enfoque basado en el riesgo para la planificación de la auditoría? La auditoría: los recursos se asignan a los ámbitos de mayor interés. el personal estará expuesto a una variedad de tecnología. la programación puede realizarse con meses de antelacion. los presupuestos tienen mas probabilidad de ser cumplidos por el presonal de auditoria de SI.

¿Es apropiado que un auditor de SI de una empresa que está considerando la posibilidad de externalizar su procesamiento de SI solicite y revise una copia del plan de continuidad del negocio de cada proveedor?. si, por que un auditor de SI, evaluara la idoneidad del plan de la oficina de servicios y ayudara a su empresa a aplicar un plan complementario. no , por aque el plan de continuidad de la actividad de la oficina de servicios es informacion reservada. si, por que basándose en el plan, un auditor de SI, evaluara la estabilidad financiera de la empresa de servicios y su capacidad para cumplir el contrato. no. por que el respaldo que debe proporcionarse debe especificarse adecuadamente en el contrato.

Utilizando el modelo de referencia OSI, ¿qué capa(s) se utiliza(n) para cifrar los datos?. capas de sesion y de trasnporte. capa de transporte. capa de la sesion. capa de enlace de datos.

¿Cuál de las siguientes opciones es la que MÁS indica que un almacén de datos de clientes debe permanecer en la empresa en lugar de subcontratarse a una operación en el extranjero?. las diferencias de huso pueden dificultar la comunicacion entre los equipos de TI. el desarrollo de software puede requerir especificaciones mas detalladas. las leyes de privacidad podrían impedir el flujo transfronterizo de información. el coste de las telecomunicaciones podría ser mucho mayor al primer año.

¿Cuándo deben los administradores de sistemas evaluar primero el impacto de las aplicaciones o los parches de los sistemas?. no antes de cinco dias habiles despues instalacion. antes dela instalación. dentro de los cinco dias habiles siguiente a la instalacion. inmediatamente despues dela instalacion.

Para ayudar a una organización a planificar las inversiones en TI, un auditor de SI debe recomendar el uso de: planificación táctica. herramientas de gestión de proyectos. una arquitectura orientada a objeto. arquitectura emrpesarial (EA).

¿Qué es un sistema de devolución de llamada?. es un sistema de acceso remoto en el que el servidor de acceso remoto devuelve inmediatamente la llamada al usuario a un numero predeterminado si falla la conexión telefónica. se trata de un control de acceso remoto en el que el usuario se conecta inicialmente a los sistemas de red mediante acceso telefónico , para que la conexión inicial sea interrumpida por el servidor, que posteriormente vuelve a llamar el usuario a un numero predeterminado almacenado en la base de datos de configuración del servidor. se trata de un sistema de acceso remoto en el que la aplicación del usuario vuelve a llamar automáticamente al servidor de acceso remoto si falla el intento de conexión inicial. se trata de un control de acceso remoto por el que el usuario se conecta inicialmente a los sistemas de red, a través de un accceso telefonico , solo para que la conexion inicial sea interrumpida por el servidor , que posteriormente permite al usuario volver a llamar a u numero aprobado durante un periodo de tiempo limitado,.

Los controles de procesamiento garantizan que los datos sean precisos y completos, y que se procesen sólo a través de cuál de los siguientes? Elija la MEJOR respuesta. rutinas aprobadas. rutinas aceptadas. rutinas documentadas. rutinas autorizadas.

Si un programador tiene acceso de actualización a un sistema en vivo, los auditores de SI están más preocupados por la capacidad del programador de iniciar o modificar transacciones y la capacidad de acceder a la producción que por la capacidad del programador de autorizar transacciones. ¿Verdadero o falso?. verdadero. falso.

Al revisar el proceso de planificación estratégica de TI, un auditor de SI debe asegurarse de que el plan: especifica las practicas de gestión de proyectos. articula la misión y la visión de las TI. aborda los controles operativos necesarios. incorpora la tecnología mas avanzada.

¿Qué controles de entrada/salida deben implementarse para qué aplicaciones en un entorno de sistemas integrados?. la aplicación receptora. la aplicación de envió. tanto las aplicaciones emisoras como las receptoras. salida en la aplicación emisora y entrada en la aplicación receptora.

El desarrollo de una política de seguridad de la SI es, en última instancia, responsabilidad del: administrado de seguridad. departamento de IS. consejo de administración. comité de seguridad.

Las decisiones y acciones de un auditor de SI son las que MÁS pueden afectar a cuál de los siguientes riesgos?. deteccion. controlar. inherante. negocios.

A la hora de desarrollar un programa formal de seguridad empresarial, el factor de éxito más crítico (CSF) sería el: creacion de una unidad de seguridad. apoyo efectivo de un patrocinador ejecutivo. creación de una junta de revisión. selección de un propietario del proceso de seguridad.

¿Cuál de los siguientes puntos debe incluirse en la política de seguridad de la SI de una organización?. elementos de seguridad de los programas informáticos pertinentes. la base de la autorización de acceso. una lista de los principales recursos informáticos que hay que asegurar. identidad de los elementos de seguridad sensibles.

El ritmo de cambio de la tecnología aumenta la importancia de: aplicar y hacer cumplir los buenos procesos. subcontratación de la función de SI. contratar personal dispuesto a hacer carrera en la organizacion. satisfacer las necesidades de los usuarios.

Una adecuada segregación de funciones impide que un operador (usuario) de ordenador realice funciones de administración de seguridad. ¿Verdadero o falso?. falso. verdadero.

La ventaja PRIMARIA de un enfoque de auditoría continua es que: puede mejorar la seguridad del sistema cuando se utiliza en entornos de tiempo compartido que procesan un gran numero de transacciones. no requiere que un auditor de SI. recoja pruebas sobre la fiablidad del sistema mientras se esta procesando. no depende de la complejidad de los sistemas informaticos de una organizacion. requiere que el auditor de SI revise y haga un seguimiento inmediato de toda la información recopilada.

Se asigna a un auditor de SI la realización de una revisión posterior a la implementación de un sistema de aplicación. ¿Cuál de las siguientes situaciones puede haber perjudicado la independencia del auditor de SI? El auditor de SI: participo como miembro del equipo del proyecto del sistema de aplicacion , pero tuvo responsabilidades operativas. implemento un control especifico durante el desarrollo del sistema de aplicación. diseño un modulo de auditoria integrado exclusivamente para auditar sistema de apliaciones. ha proporcionado asesoramiento sobre las mejores practicas de los sistemas de aplicación.

En una organización, las responsabilidades en materia de seguridad informática están claramente asignadas y se aplican, y se realiza sistemáticamente un análisis de riesgos e impactos de la seguridad informática. ¿Qué nivel de clasificación representa esto en el modelo de madurez de la gobernanza de la seguridad de la información?. definido. repetible. optimizado. gestionado.

La ventaja de un enfoque ascendente para el desarrollo de políticas organizativas es que las políticas: es mas probable que se deriven como resultado de una evaluación de riesgo. garantizar la coherencia en toda la organizacion. no entraran en conflicto con la política general de la empresa. se desarrollan para organización en su conjunto.

La razón por la que se lleva a cabo un proceso de certificación y acreditación en los sistemas críticos es para garantizar que: el cumplimiento de la seguridad ha sido evaluado técnicamente. los sistemas han sido probadas para funcionar en diferentes plataformas. los datos han sido encriptados y están listos para ser almacenados. los sistemas han seguido las fases de un modelo de cascada.

El objetivo PRIMERO de la implantación del gobierno corporativo por parte de la dirección de una organización es: aplicar las mejores practicas. proporcionar una dirección estratégicas. controlar las operaciones comerciales. alinear las TI con el negocio.

¿Cuándo debe realizarse una comprobación de edición a nivel de solicitud para verificar la disponibilidad de fondos en la interfaz de transferencia electrónica de fondos (TEF)?. antes de iniciar una EFT. antes de la finalización de la transacción. inmediatamente después de que se inicie una EFT. durante la prueba total de la carrera.

¿Cuál de los siguientes es el MAYOR riesgo de una definición inadecuada de la política de propiedad de los datos y sistemas?. los usuarios no autorizados pueden tener acceso a originar modificar o borrar datos. no se puede establecer una responsabilidad especifica del usuario. es posible que no apliquen las recomendaciones de la auditoria. la coordinacion de la gestion de usuarios no existe.

La reingeniería de los procesos de negocio suele dar lugar a un/a ___________ de la automatización, lo que se traduce en un ________ número de personas que utilizan la tecnología. Completa los espacios en blanco. disminucion ; un menor. aumento : mismo. aumento : un menor. aumento : un mayor.

Un auditor de SI descubre que no todos los empleados conocen la política de seguridad de la información de la empresa. El auditor de SI debe concluir que: este desconocimiento puede llevar a la divulgación involuntaria de información sensible. la auditoria de SI debe proporcionar formación en materia de seguridad a los empleados. el hallazgo de la auditoria hará que la dirección proporcione formación continua al persona. la seguridad de la informacion no es critica para todas las funciones.

¿Qué se utiliza para proporcionar la autenticación del sitio web y también se puede utilizar para autenticar con éxito las claves utilizadas para el cifrado de datos?. authenticode. un certificado de sitio web. un certificado de organización. un certificado de usuario.

Una instalación de procesamiento fuera del sitio debe ser fácilmente identificable externamente porque la fácil identificación ayuda a garantizar una recuperación más fluida. ¿Verdadero o falso?. falso. verdadero.

Al desarrollar una arquitectura de seguridad, ¿cuál de los siguientes pasos debe ejecutarse PRIMERO?. especificación de una metodología de control de acceso. definir una política de seguridad. desarrollar procedimientos de seguridad. definicion de fuinciones y respponsabilidades.

Un auditor de SI encuentra que, de acuerdo con la política de SI, las identificaciones de los usuarios dados de baja se desactivan dentro de los 90 días de la baja. El auditor de SI debería: VERIFICAR que los derechos de acceso de los usuarios se han concedido en función de las necesidades. recomiendan revisar periódicamente los registros de actividad de los usuarios dados de baja. recomendar cambios en la política de SI para garantizar la desactivación de las identificaiones de los usuarios en el momento del cese. informan de que el control funciona efixcamente ya que la desactivacion se produce dentro del plazo establecido en la politica de SI.

Las técnicas de autenticación para el envío y la recepción de datos entre sistemas EDI son cruciales para evitar ¿cuál de las siguientes situaciones? Elija la MEJOR respuesta. transacciones no sincronizadas. transacciones no autorizadas. transacciones imcompleta. transaccines inexactas.

¿Cuál de los siguientes aspectos es el que más preocupa a la hora de realizar una auditoría de SI?. capacidad de los usuarios para modificar indirectamente la base de datos. capacidad de los usuarios para enviar consultas a la base de datos. capacidad de los usuarios para modificar directamente la base de datos. posiblidad de que los usuarios vean directamente la base de datos.

¿Qué se puede utilizar para reunir pruebas de los ataques a la red?. LISTA DE CONTROL (ACL). programa antivirus. informes Syslog. sistema de deteccion de intruso (IDS).

¿Qué protege la capacidad de un comprador de aplicaciones para arreglar o cambiar una aplicación en caso de que el proveedor de la misma quiebre?. deposito de código fuente. programa de puertas trasera. experiencia en programación interna. asignación de derechos de autor a la organización.

Tras identificar las posibles vulnerabilidades de seguridad, ¿cuál debería ser el siguiente paso del auditor de SI?. realizar un análisis del impacto en el negocio de las amenazas que explotarían las vulnerabilidades. informar inmediatamente a la alta dirección de los resultados. aplicar contramedidas y controles compensatorios eficaces. evaluar posibles contramedidas y controles compensatorios.

¿Cuál de los siguientes programas es el que MÁS probablemente incluiría una política de seguridad de la información sólida para tratar las presuntas intrusiones?. correccion. deteccion. respuesta. monitorizacion.

¿Qué deben comprobar siempre los auditores de SI cuando auditan archivos de contraseñas?. que los archivos de contrasenas no sean accesibles a travez de la red. que el borrador de archivo con contraseña esta protegido. que se archiven los ficheros de contraseñas. que los archivos de contraseñas estén encriptados.

La copia de seguridad y el almacenamiento de datos fuera de las instalaciones deben estar separados geográficamente para (rellene el espacio en blanco) el riesgo de una catástrofe física generalizada, como un huracán o un terremoto. transferencia. aceptar. eliminar. mitigar.

Un auditor de SI encuentra que las pruebas de aceptación del usuario de un nuevo sistema se interrumpen repetidamente mientras los desarrolladores implementan las correcciones de los defectos. ¿Cuál de las siguientes sería la MEJOR recomendación para un auditor de SI?. solo reexaminar los defectos de alta prioridad. implementar una herramienta de control de versiones de código fuente. programar las pruebas de usuarios para que se realicen a una hora determinada cada día. considerar la viabilidad de un entorno independiente de aceptación por parte de los usuarios.

¿Cuál es una vulnerabilidad común que permite ataques de denegación de servicio?. configuración de las reglas de acceso del cortafuego. asignar el acceso a los usuarios según el principio del mínimo privilegio. enrutadores y lista de accesos de enrutadores mal configurados. falta de conocimiento de los empleados sobre las políticas de seguridad de la organizacion.

¿Qué se suele asegurar mediante la verificación de los enlaces de la tabla y la comprobación de las referencias?. sincronización de la base de datos. integridad de la base de datos. precisión de la base de datos. normalización de la base de datos.

¿Cuál de las siguientes ayudas impide que los sistemas de una organización participen en un ataque de denegación de servicio distribuido (DDoS)? Elija la MEJOR respuesta. filtrado del trafico entrante. filtrado del trafico saliente. uso de lista de control de acceso (ACL) para restringir los intentos de conexión entrante. Recentralizacion de los sistemas distribuidos.

¿Qué se utiliza como control para detectar la pérdida, la corrupción o la duplicación de datos?. comprobación del carácter razonable. comprobación de la exactitud. totalidades de los hashtags. control de redundancia.

¿Qué proceso se utiliza para validar la identidad de un sujeto?. identificación. autentificación. no repudio. autorización.

¿Qué es un control de edición de validación de datos que hace coincidir los datos de entrada con un índice de ocurrencia? Elija la MEJOR respuesta. control de redundancia. comprobación de carácter razonable. comprobación de exactitud. comprobación de integridad.

Siguiendo las mejores prácticas, los planes formales para la implementación de nuevos sistemas de información se desarrollan durante el: fase de diseño. fase de prueba. fase de desarrollo. fase de despliege.

¿Cuál de las siguientes sería la recomendación MÁS rentable para reducir el número de defectos encontrados durante los proyectos de desarrollo de software?. exigir la aprobación de todos los resultados del proyecto. aumentar el tiempo asignado a las pruebas del sistema. implementar inspecciones formales de software. aumentar el personal de desarrollo.

¿Cómo funcionan los módems (modulación/demodulación) para facilitar que las transmisiones analógicas entren en una red digital?. los módems encapsulan las transmisiones analogicas en las digitales y las digitales en las analógicas. los modens convierten las transacciones analógicas en digitales y las digitales en analógicas. los modens convierten las transacciones digitales en analógicas y las analógicas en digítales. los módems encapsulan las transmisiones digitales dentro de la analógicas y las analógicas dentro de las digitales.

¿Qué soporta la transmisión de datos a través de instalaciones de cable divididas o instalaciones de cable duplicadas?. enrutamiento redundante. enrutamiento doble. ruta alternativa. diverso enrutamiento.

Siempre que los procesos de negocio han sido rediseñados, el auditor de SI intenta identificar y cuantificar el impacto de cualquier control que pueda haber sido eliminado, o de los controles que puedan no funcionar tan eficazmente después de los cambios en los procesos de negocio. ¿Verdadero o falso?. falso. verdadero.

¿Cuál de las siguientes opciones proporciona una capacidad de recuperación casi inmediata para los sistemas sensibles al tiempo y el procesamiento de transacciones?. diario electronico automatizado y procesamiento paraleo. replicación de datos. procesamiento paralelo. replicación de datos y procesamiento en paralelo.

Los formularios de "usuario" fueron autorizados correctamente. Este es un ejemplo de: pruebas sustantivas. pruebas de conformidad. muestreo variable. muestreo "stop-or-go".

¿Por qué la pasarela WAP es un componente que justifica una preocupación crítica y una revisión por parte del auditor de SI cuando audita y comprueba los controles que aplican la confidencialidad de los mensajes?. wap funciona como una pasarela de conversión de protocolo para TLS inalambrico a SSL de internet . el WAP suele estar configurado por defecto y por tanto es inseguro. el WAP suele ser interfaz de los sistemas informáticos mas importantes. WAP proporciona un cifrado debil para el trafico inlambrico.

¿Cuál de las siguientes opciones es eficaz para detectar el fraude porque tiene la capacidad de considerar un gran número de variables al tratar de resolver un problema? Elija la MEJOR respuesta. aplicaciones multitarea. redes neuronales. sistemas sincronizados integrados. sistemas expertos.

Un auditor de SI está revisando un proyecto para implementar un sistema de pagos entre un banco matriz y una filial. El auditor de SI debe verificar PRIMERO que el: las plataformas técnicas de las dos empresas son interoperable. subsidiario pueden unirse como copropietario de este sistema de pago. se han establecido elementos de seguridad para segregar las operaciones subsidiarias. el banco matriz esta autorizado a actuar como proveedor de servicios.

El objetivo PRIMERO de una auditoría de las políticas de seguridad informática es garantizar que: se distribuyen y están a disposición de todo el personal. existe un organigrama publicado con descripciones funcionales. las funciones están debidamente separadas. las politicas de seguridad y control apoyan los objetivos empresariales y de TI.

Una política de correo electrónico completa y eficaz debe abordar las cuestiones de la estructura del correo electrónico, la aplicación de la política, la supervisión y: recuperación. retension. la reconstrucción. reutilizacion.

¿Cuál de las siguientes opciones es la mejor prueba de la idoneidad de un programa de concienciación en materia de seguridad?. el numero de interesados incluidos los empleados formados a distintos niveles. la implementación de dispositivos de seguridad de diferentes proveedores. cobertura de la formación en todos los lugares de la empresa. revisiones periódicas y comparación con las mejores practicas.

Una organización está migrando de un sistema heredado a un sistema de planificación de recursos empresariales (ERP). Al revisar la actividad de migración de datos, la preocupación MÁS importante para el auditor de SI es determinar que hay un: correlación de las características semánticas de los datos migrados entre los dis sistemas. eficiencia relativa de los procesos entre los dos sistemas. correlación de las características funcionales de los procesos entre los dos sistemas. correlación de las características aritméticas de los datos migratorios entre los dos sistemas.

¿Cuál de los siguientes métodos de muestreo es el MÁS útil a la hora de realizar pruebas de conformidad?. muestreo de atributos. estimación de la referencia. media estratificada por unidad. muestreo variable.

¿Cuál de las siguientes opciones puede degradar el rendimiento de la red? Elija la MEJOR respuesta. uso ineficiente y superfluo de los dispositivos de red, como conmutadores. uso ineficiente y superfluo de los dispositivos de red , como los concentradores. aumento de las colisiones de trafico debido a las congestión de los host mediante la reacion de nuevos dominios de colisión. uso superfluo de pasarela de carga compartida redundante.

¿Qué son los programas troyanos? Elija la MEJOR respuesta. una forma común de ataque a internet. programa maliciosos que pueden ejecutarse de forma independiente y pueden propagarse sin la ayuda de un programa portador como el correo electrónico. programas maliciosos que requieren la ayuda de un programa portador como el correo electrónico. una forma común de ataque interno.

La MAYOR ventaja del enfoque de evaluación de riesgos sobre el enfoque de referencia para gestión de la seguridad de la información es que garantiza: se apliquen los niveles adecuados de proteccion a losa ctivos de informacion. los activos de informacion estan sobreprotegidos. se aplica un nivel basico de proteccion independiente del valor del activos. se dedique la misma proporción de recurso a la protección de todos los activos.

¿Cuál es la mejor manera de controlar la minimización de los puntos únicos de fallo o las vulnerabilidades de una catástrofe común?. al dispersar geograficamente los cursos. conservando las copias de seguridad de los datos in situ en bobedas ignifugas. mediante la implantacion de sistema y aplicaciones redundante in situ. preparando documentos BCP y DRP para las catastrofe.

Una organización está implementando un nuevo sistema para reemplazar un sistema heredado. ¿Cuál de las siguientes prácticas de conversión crea el MAYOR riesgo?. corte directo. piloto. por fases. en paralelo.

La mitigación del riesgo y del impacto de una catástrofe o de una interrupción de la actividad suele tener prioridad sobre la transferencia del riesgo a un tercero, como una aseguradora. ¿Verdadero o falso?. falso. verdadero.

¿Cuál es un mecanismo de recuperación aceptable para el procesamiento de transacciones extremadamente sensibles al tiempo?. procesamiento de archivos sombra. boveda electronica. red de área de almacenamiento. registro en el diario remoto fuera de las instalaciones.

¿Cuál de las siguientes es una prueba sustantiva?. revisión de los informes del historial de contraseñas. comprobación de una lista de informes de excepción. uso de una muestra estadística para inventariar la biblioteca de cintas. garantizar la aprobacion de los cambios de parámetros.

¿Cuál de las siguientes estrategias de conversión de datos y sistemas proporciona la MAYOR redundancia?. estudio piloto. ejecución paralela. enfoque por fases. corte directo.

Al revisar las estrategias de los SI, un auditor de los SI puede evaluar MEJOR si la estrategia de los SI apoya los objetivos de negocio de las organizaciones determinando si los SI: utiliza su equipo y personal de manera eficiente y eficaz. tiene todo el personal y el equipo que necesita. los planes sean coherente con la estrategia de gestión. tiene un exceso de capacidad suficiente para responder a los cambios de direccion.

¿Quién es el responsable de la dirección general, los costes y los calendarios de los proyectos de desarrollo de sistemas?. el patrocinador del proyecto. el comité directivo del proyecto. dirección de la empresa. el jefe de equipo del proyecto.

El riesgo empresarial global para una amenaza concreta puede expresarse como: la magnitud del impacto en caso de que una fuente de amenaza explote con exito la vulnerabilidad. la probabilidad de que una determinada fuente de amenaza. un producto de la probabilidad y la magnitud del impacto si una amenaza explota con éxito una vulnerabilidad. el juicio colectivo del equipo de evaluación de riesgo.

En lugar de limitarse a revisar la adecuación del control de acceso, la idoneidad de las políticas de acceso y la eficacia de las salvaguardias y los procedimientos, el auditor de SI se preocupa más por la eficacia y la utilización de los activos. ¿Verdadero o falso?. verdadero. falso.

Las firmas digitales requieren que el remitente "firme" los datos encriptándolos con la clave pública del remitente, para luego ser descifrados por el destinatario utilizando la clave privada del mismo. ¿Verdadero o falso?. falso. verdadero.

Normalmente, ¿a cuál de las siguientes partes interesadas sería esencial involucrar en la fase de iniciación de un proyecto?. diñadores de sistema. constructores de sistemas. usuarios del sistema. propietarios del sistema.

(rellene el espacio en blanco) debe aplicarse desde la preparación de los datos para apoyar la integridad de los mismos lo antes posible. controles de authentificacion. totalidades de control. Bit de paridad. controles de autorizacion.

¿Cuál de los siguientes es un riesgo frecuente en el desarrollo de aplicaciones informáticas para usuarios finales (EUC)?. aumento de los costes de desarrollo y mantenimiento. las aplicaciones pueden no estar sujetas a pruebas y controles gerenciales de ti. aumento del tiempo de desarrollo de las aplicaciones. la toma de desiciones puede verse perjudicada por una menor capacidad de respuesta a las solicitudes de informacion.

¿Qué utiliza los cuestionarios para conducir al usuario a través de una serie de opciones para llegar a una conclusión? Elija la MEJOR respuesta. algoritmos lógicos. arboles lógicos. arboles de decisión. algoritmo de decisión.

El propósito PRIMERO de los registros de auditoría es: establecer la responsabilidad delas transacciones procesadas. mejorar el tiempo de respuesta para los usuarios. mejorar la eficacia operativa del sistema. proporcionar información útil a los auditores que deseen hacer un seguimiento de las transacciones.

El objetivo de la planificación de la continuidad de la actividad y de la recuperación de desastres es: eliminar el riesgo y el impacto de una interrupción de la actividad o una catástrofe. mitigar, o reducir el riesgo y el impacto de una interrupción de la actividad o de una catástrofe. transferir el riesgo y el impacto de una interrelación de la actividad o de una catástrofe. aceptar el riesgo y el impacto de un negocio.

¿Cuáles de las siguientes vulnerabilidades se aprovechan para causar pérdidas o daños a la organización y sus activos?. controles insuficientes. amenazas. exposiciones. riesgos.