CISA

Debido a limitaciones de recursos del equipo de auditoría de SI, el plan de auditoría no puede realizarse como fue originalmente aprobado. Suponiendo que se comunica la situación en el informe de auditoría, ¿qué curso de acción es el MÁS aceptable?. Probar la idoneidad del diseño de control. Probar la efectividad operativa de los controles. Enfocarse en auditar áreas de alto riesgo. Confiar en las pruebas de controles de la gerencia.

Pese a que la gerencia afirma lo contrario, un auditor de SI tiene razones para creer que la organización está utilizando software sin licencias. Ante esta situación, el auditor de SI PRIMERO debe: incluir la afirmación de la gerencia en el informe de auditoría. verificar que el software esté en uso mediante pruebas. incluir el ítem en el informe de auditoría. conversar el asunto con la alta gerencia porque informar esto podría tener un impacto negativo sobre la organización.

El auditor SI está determinando el tamaño de la muestra adecuado para probar la existencia de aprobaciones de cambios del programa. Las auditorías anteriores no indican ninguna excepción y la gerencia ha confirmado que no han sido informadas excepciones para el período de revisión. En este contexto, el auditor de SI puede adoptar: menor coeficiente de confianza, que da como resultado un tamaño de la muestra más pequeño. mayor coeficiente de confianza, que da como resultado un tamaño de la muestra más pequeño. mayor coeficiente de confianza, que da como resultado un tamaño de la muestra más grande. menor coeficiente de confianza, que da como resultado un tamaño de muestra más grande.

Equipo interno de auditoría de SI está auditando los controles sobre las devoluciones de ventas y está preocupado por los fraudes. ¿Cuál de los siguientes métodos de muestreo sería de MÁS ayuda para los auditores SI?. Parar o seguir. Variable clásica. Descubrimiento. Probabilidad proporcional al tamaño.

¿Cuál de los siguientes es el MEJOR factor para determinar el alcance requerido de la recopilación de datos durante la etapa de planificación de una auditoría de cumplimiento de SI?. Complejidad de la operación de la organización. Hallazgos y asuntos destacados del año anterior. Propósito, objetivo y alcance de la auditoría. La familiaridad del auditor con la organización.

¿Cuál de las siguientes opciones representa falta de controles adecuados?. Un impacto. Una vulnerabilidad. Un activo. Una amenaza.

¿Cuál de las siguientes opciones es el requerimiento PRINCIPAL para informar los resultados de una auditoría de SI? El informe es: preparado según una plantilla estándar y predefinida. respaldado por evidencia de auditoría suficiente y adecuada. exhaustivo en la cobertura de los procesos de la empresa. revisado y aprobado por la gerencia de auditoría.

La acción MÁS apropiada que debe llevar a cabo un auditor de SI cuando se descubren cuentas de usuarios compartidas es: informar al comité de auditoría sobre el problema potencial. revisar los registros de auditoría para las cuentas (ID) en cuestión. documentar el hallazgo y explicar el riesgo de utilizar cuentas compartidas. solicitar que las cuentas (ID) sean eliminadas del sistema.

Un auditor de SI está revisando los controles de seguridad para un sistema crítico basado en la web antes de implementarlo. Los resultados de la prueba de penetración no son concluyentes, y los resultados no se terminarán antes de la implementación. ¿Cuál de las siguientes opciones es la MEJOR para el auditor de SI?. Publicar un informe basado en la información disponible, destacando las posibles vulnerabilidades de seguridad y la necesidad de pruebas de seguimiento de auditoría. Publicar un informe omitiendo las áreas donde la evidencia obtenida de las pruebas no fue concluyente. Solicitar una prórroga de la fecha de implementación hasta que se puedan realizar otras pruebas de seguridad y sea posible obtener evidencia de controles adecuados. Informar a la gerencia que el trabajo de auditoria no puede ser completado antes de la implementacion y se recomienda que la auditoria sea pospuesta.

El objetivo PRIMARIO de llevar a cabo una revisión posterior de un incidente es que presente una oportunidad para: mejorar los procedimientos de control interno. fortalecer la red según las buenas prácticas de la industria. resaltar a la gerencia la importancia de la gestión de respuesta a incidentes. mejorar la concientización de los empleados sobre proceso de respuesta a incidentes.

Una función de auditoria interna de SI está planeando una auditoría general de SI. ¿Cuál de las siguientes actividades se lleva a cabo durante el PRIMER paso de la etapa de planificación?. Desarrollo de un programa de auditoría. Revisión del estatuto de auditoría. Identificación de los propietarios de la información clave. Desarrollo de una evaluación de riesgo.

¿Cuál de las opciones siguientes debería utilizar un auditor de SI para detectar registros duplicados de facturas dentro de un archivo maestro de facturas?. Muestreo por atributos. Uso de técnicas de auditoría asistidas por computador (CAAT). Pruebas de cumplimiento. Facilidad de prueba integrada (ITF).

Un empleado de TI a largo plazo con sólidos antecedentes técnicos y una amplia experiencia directiva se ha postulado para un puesto vacante en el departamento de auditoría de SI. La determinación de si se contrata o no a esta persona para este puesto debe basarse PRINCIPALMENTE en la experiencia de la persona y en: el tiempo de servicio ya que esto ayudará a garantizar la competencia técnica. la edad, ya que la capacitación en técnicas de auditoría puede ser algo poco práctico. los conocimientos de TI, ya que esto traerá una mayor credibilidad a la función de auditoría. la capacidad, como un auditor de SI, de ser independiente de las relaciones de TI existentes.

Recientemente una compañía ha ampliado la capacidad de su sistema de compras para incorporar transmisiones de intercambio electrónico de datos (EDI). ¿Cuál de los siguientes controles debe implementarse en la interfaz EDI para proporcionar el mapeo (mapping) de datos eficiente?. Verificación de claves. Verificación uno a uno. Nuevos cálculos manuales. Reconocimientos funcionales.

Un auditor de SI observa que los intentos fallidos de inicio de sesión en un sistema financiero principal se registran automáticamente y la organización mantiene dichos registros durante un año. Este registro es: un control preventivo efectivo. un control de detección válido. un control no adecuado. un control correctivo.

Un beneficio PRINCIPAL derivado de una organización que emplea técnicas de autoevaluación de control (CSA) es que: puede identificar áreas de alto riesgo que podrían necesitar una revisión detallada más adelante. permite a los auditores de SI evaluar el riesgo de forma independiente. se puede utilizar como un sustituto de las auditorías tradicionales. permite a la gerencia renunciar a la responsabilidad del control.

¿Cuál de los siguientes es un atributo del enfoque de autoevaluación de control?. La participación amplia de las partes interesadas. Los auditores son los principales analistas de control. La participación limitada de empleados. El estar impulsado por las políticas.

¿Qué efectos entre los siguientes debería tener prioridad en la planificación del alcance y los objetivos de una auditoría de SI?. Requisitos legales aplicables. Normas corporativas aplicables. Buenas prácticas aplicables al sector. Políticas y procedimientos de la organización.

Ha sido asignado a una auditoría integrada de los procesos de nómina y necesita planificar la parte de auditoría de TI del contrato. ¿Cuál es el área de procesos de negocio MÁS importante que debe considerar?. ¿sería mejor conocer el presupuesto de auditoría de SI. conocer el perfil de riesgo de CIO y CFO para los procesos de nómina?.

Un auditor SI debe utilizar un muestreo estadístico y no un muestreo basado en juicio (no estadístico) cuando: la probabilidad de error debe ser cuantificada de manera objetiva. el auditor quiere evitar el riesgo de muestreo. el software de uso generalizado en está disponible. la tasa tolerable de errores no puede ser determinada.

¿Cuál de las siguientes formas de evidencia consideraría un auditor SI como la MÁS confiable?. Una declaración oral de un auditado. Los resultados de una prueba realizada por un auditor SI externo. Un informe contable generado internamente por el computador. Una carta de confirmación recibida de una fuente externa.

¿Cuál de las opciones siguientes debería utilizar un auditor SI para detectar registros duplicados de facturas dentro de un archivo maestro de facturas?. Muestreo por atributos. Técnicas de auditoría asistida por computador. Pruebas de cumplimiento. Utilidad integrada para pruebas.

En la preparación de un informe de auditoría, el auditor SI debe asegurarse que los resultados estén soportados por: declaraciones de la gerencia de SI. papeles de trabajo de otros auditores. una autoevaluación de control organizacional. evidencia de auditoría suficiente y apropiada.

¿Cuál de las siguientes opciones identificará MEJOR los controles clave superpuestos en los sistemas de aplicaciones de negocio?. Revisar las funciones del sistema que están conectadas con procesos de negocio complejos. Enviar transacciones de prueba a través de una utilidad integrada para pruebas. Reemplazar el monitoreo manual por una solución de auditoría automatizada. Probar los controles para validar que son efectivos.

¿Cuál de las siguientes opciones es el propósito PRINCIPAL para realizar una evaluación del riesgo en la fase de planificación de una auditoría de SI?. Garantizar que se aborden las inquietudes de la gerencia. Proporcionar una seguridad razonable de que todos los elementos materiales serán abordados. Garantizar que el equipo de auditorías realizará las auditorías dentro del presupuesto. Desarrollar el programa de auditoría y los procedimientos necesarios para llevar a cabo la auditoría.

En auditor de SI evalúa la estructura de gobierno de TI de una organización. ¿Cuál de las siguientes opciones sería la MAYOR preocupación?. La alta gerencia tiene una participación limitada. No se mide el retorno de la inversión (ROI). La transferencia de costos de TI no es consistente. El apetito de riesgo no se cuantifica.

¿Cuál de las siguientes buenas prácticas de gobierno de TI mejora la alineación estratégica?. Se gestiona el riesgo de los proveedores y de los socios. Se ha establecido una base de conocimientos sobre los clientes, productos, mercados y procesos. Se proporciona una estructura que facilita la creación y el intercambio de información comercial. La alta gerencia actúa como mediador entre los imperativos de negocio y la tecnología.

Mientras auditaba el marco general de gobierno de TI y las prácticas de gestión de riesgos de TI que existen dentro de una organización, el auditor de SI identificó algunas responsabilidades sin definir en relación con los roles de gestión y gobierno de TI. ¿Cuál de las siguientes recomendaciones es la MÁS apropiada?. Revisar la alineación estratégica de TI con el negocio. Recomendar reglas de rendición de cuentas dentro de la organización. Asegurar que se lleven a cabo periódicamente auditorías de SI independientes. Crear un rol de director de riesgo (CRO) en la organización.

Al auditar el proceso de archivado interno de las comunicaciones por correo electrónico, el auditor de SI debe prestar MÁXIMA atención a: la existencia de una política de retención de datos. la capacidad de almacenamiento de la solución de archivos de seguridad. el nivel de conciencia del usuario con respecto al uso del correo electrónico. el soporte y la estabilidad del fabricante de la solución de archivos de seguridad.

Un auditor SI que revisa una organización que utiliza prácticas de capacitación cruzada debe evaluar el riesgo de: la dependencia de una sola persona. planificación inadecuada de la sucesión. que una persona conozca todas las partes de un sistema. una interrupción de las operaciones.

¿Cuál de las siguientes opciones es el beneficio PRINCIPAL de solicitar un comité de dirección para supervisar la inversión de TI?. Realizar un estudio de factibilidad para demostrar el valor de TI. Asegurar que las inversiones se realicen según los requisitos del negocio. Asegurar que se cumplan los controles de seguridad adecuados. Asegurar que se implemente una metodología estándar de desarrollo.

Como uno de los resultados de gobierno de la seguridad de la información, la alineación estratégica establece: los requerimientos de seguridad impulsados ​por los requerimientos empresariales. la seguridad de referencia que sigue las buenas prácticas. las soluciones institucionalizadas y de consumo masivo. una comprensión de la exposición al riesgo.

¿En cuál de los siguientes factores debería enfocarse PRINCIPALMENTE un auditor de SI al determinar el nivel adecuado de protección para un activo de información?. Los resultados de una evaluación de riesgo. El valor relativo para el negocio. Los resultados de una evaluación de vulnerabilidades. El costo de los controles de seguridad.

Cuando el plan de recuperación de desastres (DRP) de una organización tiene un acuerdo recíproco, ¿cuál de los siguientes planteamientos para el tratamiento del riesgo se está aplicando?. Transferencia. Mitigación. Evasión. Aceptación.

Un auditor de SI, mientras revisa un sistema de gestión de la calidad (QMS), debe centrarse PRINCIPALMENTE en recolectar pruebas para demostrar que: los sistemas de gestión de la calidad (QMS) cumplen con las buenas prácticas. los objetivos de mejora continua están siendo monitoreados. los procedimientos operativos estándar de TI se actualizan anualmente. los indicadores clave del rendimiento (KPI) están definidos.

¿Cuál de la siguientes es la consideración MÁS importante de una auditoría de SI cuando una organización delega en un proveedor de servicio externo un sistema de revisión de créditos de un cliente? Que el proveedor: cumpla o supere las normas de seguridad de la industria. acepte someterse a revisiones externas de seguridad. cuente con una buena reputación en el mercado en cuanto al servicio y experiencia. cumpla con las políticas de seguridad de la empresa.

Antes de la implementación de un cuadro de mando (balanced scorecard - BSC), una organización debe: entregar servicios eficientes y efectivos. definir los indicadores del rendimiento. proveer valor de negocio a los proyectos de TI. controlar los gastos de TI.

Un auditor de SI está revisando el proceso de gestión de la calidad del software en una organización. El PRIMER paso debería ser: verificar cómo sigue los estándares la organización. identificar y reportar los controles implementados actualmente. revisar las métricas de evaluación de la calidad. solicitar todos los estándares que ha adoptado la organización.

+El gobierno de TI eficaz se asegurará de que el plan de TI sea consistente con: el plan de negocios. el plan de auditoría. el plan de seguridad. el plan de inversión.

+La responsabilidad del gobierno de TI debe recaer en: el Comité de estrategia de TI. el Director de Informática. el Comité de auditoría. el Consejo de dirección.

+Al desarrollar una arquitectura de seguridad, ¿cuál de los pasos siguientes debería ejecutarse PRIMERO?. Desarrollar procedimientos de seguridad. Definir una política de seguridad. Especificar una metodología de control de acceso. Definir roles y responsabilidades.

+El beneficio PRINCIPAL de una iniciativa de arquitectura de empresa (EA) es: permitir que la organización invierta en la tecnología más adecuada. asegurar que los controles de seguridad sean implementados en las plataformas críticas. permitir que los equipos de desarrollo respondan mejor a los requerimientos de negocio. brindar a las unidades de negocio una mayor autonomía para seleccionar las soluciones que se adapten a sus necesidades.

+Un auditor SI ha sido asignado para revisar las estructuras y actividades de TI subcontratadas recientemente a varios proveedores ¿Cuál de las siguientes opciones debería determinar PRIMERO el auditor SI? contratistas. Hay una cláusula de auditoría presente en todos los contratos. El acuerdo de nivel de servicio de cada contrato está sustanciado por los indicadores clave del rendimiento apropiados. Las garantías contractuales de los proveedores soportan las necesidades de negocio de la organización. A la terminación del contrato, el soporte está garantizado por cada contratista para los nuevos.

Una organización está implementando una aplicación de planificación de recursos empresariales (ERP). ¿De los siguientes, quién es el PRINCIPAL responsable de examinar el proyecto con el fin de asegurar que está progresando de acuerdo con el plan y que arrojará los resultados esperados?. Patrocinador del proyecto. Equipo del proyecto de desarrollo de sistemas (SDPT). Comité de dirección de proyectos. Equipo del proyecto del usuario (UPT).

Mientras evalúa las prácticas de desarrollo del software en una organización, un auditor SI nota que la función de aseguramiento de la calidad (QA) responde a la gerencia del proyecto. La preocupación MÁS importante de un auditor SI es: la eficacia de la función de aseguramiento de la calidad, ya que debería interactuar entre la gerencia del proyecto y la gerencia del usuario. la eficiencia de la función de aseguramiento de la calidad, ya que debería interactuar con el equipo de implementación del proyecto. la eficacia del gerente del proyecto, ya que el gerente del proyecto debería interactuar con la función de aseguramiento de la calidad. la eficiencia del gerente del proyecto, ya que la función de aseguramiento de la calidad deberá comunicarse con el equipo de implementación del proyecto.

¿Cuál de las siguientes opciones sería la MEJOR ayuda para priorizar las actividades de los proyectos y determinar el cronograma de un proyecto?. Un diagrama de Gantt. Análisis de valor obtenido (EVA). Técnica de revisión y evaluación de programas (PERT). Análisis de punto de función (FPA).

Un auditor SI estima que las limitaciones de tiempo y el incremento de las necesidades de recursos son el origen de las recientes violaciones de los estándares para la definición de los datos corporativos en un nuevo proyecto de inteligencia de negocios en una compañía. ¿Cuál de las siguientes opciones es la sugerencia MÁS apropiada que puede hacer el auditor?. Lograr la alineación de los estándares mediante un aumento de los recursos dedicados al proyecto. Alinear los estándares de definición de datos después de completar el proyecto. Retrasar la ejecución del proyecto hasta que se cumplan los estándares. Adoptar medidas punitivas contra los infractores para que se cumplan los estándares.

Durante la auditoría de un paquete de software adquirido, un auditor SI descubre que la compra del software se basó en información obtenida a través de Internet, en lugar de basarse en respuestas a una petición de propuestas (RFP). El auditor de SI PRIMERO debería: probar el software para su compatibilidad con el hardware existente. realizar un análisis de brechas. revisar la política de concesión de licencias. asegurarse que el procedimiento haya sido aprobado.

Una empresa ha contratado a una consultora externa para implementar un sistema financiero comercial para sustituir su actual sistema desarrollado internamente. Al revisar el enfoque de desarrollo propuesto, ¿cuál de los siguientes constituiría la MAYOR preocupación?. Las pruebas de aceptación serán gestionadas por los usuarios. Un plan de calidad no es parte de las entregas contratadas. No todas las funciones del negocio estarán disponibles durante la implementación inicial. El uso de prototipos se utiliza para confirmar que el sistema cumpla con los requerimientos del negocio.

¿Cuál de los siguientes sería el MEJOR método para garantizar que la prueba logrará la suficiente cobertura para un proyecto con una fecha estricta de finalización y un tiempo fijo para realizar las pruebas?. Los requerimientos deben ser probados en términos de importancia y frecuencia de uso. La cobertura de la prueba debe limitarse a los requisitos funcionales. Pruebas automáticas se deben realizar mediante el uso de programación. El número de ejecución de pruebas requeridas se debe reducir al probar nuevamente solo las soluciones defectuosas.

¿Quién debe revisar y aprobar las entregas del sistema a medida que se definen y alcanzan para garantizar la realización exitosa y la implementación de una nueva aplicación del sistema de negocio?. Gerencia de los usuarios. Comité directivo de proyectos. La alta gerencia. El personal de aseguramiento de calidad.

Un auditor SI está revisando el proceso de desarrollo de software de una organización. ¿Cuál de las siguientes funciones sería adecuado que realicen los usuarios finales?. Pruebas de la salida del programa. Configuración del sistema. Especificación de la lógica del programa. Optimización del rendimiento.

Desde el punto de vista de la gestión de riesgos, el MEJOR enfoque cuando se implementa una estructura de TI grande y compleja es: una implementación importante después de la prueba del concepto. el prototipado e implementación en una fase. un plan de implementación basado en fases secuenciales. simulación de la nueva infraestructura antes de la implementación.

¿Cuál de las siguientes actividades se debe realizar durante una revisión posterior a la implementación?. Pruebas de aceptación del usuario (UAT). Análisis de retorno sobre la inversión (ROI). Activación de pistas de auditoría. Actualizaciones del estado de los diagramas de arquitectura empresarial (EA).

El objetivo PRINCIPAL de llevar a cabo una revisión posterior a la implementación para un proyecto de automatización de procesos de negocio es: asegurar que el proyecto cumpla con los requisitos de negocio previstos. evaluar la idoneidad de los controles. confirmar el cumplimiento con los estándares tecnológicos. confirmar el cumplimiento con los requisitos reglamentarios.

Una aplicación de nómina existente se migra a una nueva aplicación. ¿Cuál de las siguientes partes interesadas debería ser la PRINCIPAL responsable de revisar y aprobar la precisión e integridad de los datos antes de que la aplicación sea puesta en producción?. Auditor SI. Administrador de la base de datos. Gerente del proyecto. Propietario de los datos.

Un auditor SI debe garantizar que la revisión de los procedimientos de conciliación mediante transferencias electrónicas de fondos (EFT) en línea incluye: creación de comprobantes. autorizaciones. correcciones. rastreo.

+La razón para el establecimiento de un alto o un punto de congelamiento en el diseño de un nuevo sistema es: evitar más cambios a un proyecto en proceso. indicar el punto en el que el diseño debe completarse. requerir que los cambios después de ese punto sean evaluados en su rentabilidad. proporcionar al equipo de gestión de proyectos un mayor control sobre el diseño del proyecto.

+Las fases y resultados de un proyecto de ciclo de vida del desarrollo de sistemas deben determinarse: durante las etapas iniciales de planificación del proyecto. después que la planificación temprana se haya completado, pero antes de que el trabajo haya comenzado. durante las etapas de trabajo, basándose en los riesgos y exposiciones. solo después de que se hayan identificado todos los riesgos y exposiciones y el auditor SI haya recomendado los controles adecuados.

+Idealmente, las pruebas de estrés deben llevarse a cabo en un: entorno de prueba usando los datos de prueba. entorno de producción usando cargas de trabajo en vivo. entorno de pruebas usando cargas de trabajo en vivo. entorno de producción utilizando los datos de prueba.

+El control de cambios para los sistemas de aplicación de negocio que se están desarrollando utilizando prototipos podría complicarse debido a: el carácter iterativo del uso de prototipos. el rápido ritmo de los cambios en los requerimientos y el diseño. el énfasis en los informes y pantallas. la falta de herramientas integradas.

+El MEJOR momento para que un auditor SI evalúe las especificaciones de control de un nuevo paquete de software de aplicación que está siendo considerado para su adquisición es durante: la fase de pruebas internas de laboratorio. las pruebas y antes de la aceptación del usuario. el proceso de recopilación de requerimientos. la etapa de implementación.

Un auditor SI descubre que algunos usuarios han instalado software personal en sus computadoras. Esto no está prohibido explícitamente por la política de seguridad. De los siguientes, el MEJOR método que un auditor SI podría recomendar es que: el departamento de TI implemente mecanismos de control para prevenir la instalación de software no autorizado. la política de seguridad se actualizará para incluir un lenguaje específico respecto al software no autorizado. el departamento de TI prohíba la descarga de software no autorizado. los usuarios obtengan la aprobación de un administrador de SI antes de instalar el software no estándar.

¿Cuál de los siguientes riesgos es frecuente en el desarrollo de aplicaciones de computación de usuario final (EUC)?. Las aplicaciones pueden no estar sujetas a pruebas y controles generales de TI. Los costos de desarrollo y mantenimiento pueden aumentar. El tiempo de desarrollo de las aplicaciones puede aumentar. La toma de decisiones puede estar obstaculizada por la poca receptividad a las solicitudes de información.

¿Cuál de las siguientes opciones es la MEJOR referencia para que un auditor de SI pueda determinar la capacidad de un proveedor de cumplir con los requerimientos del acuerdo de nivel de servicio (SLA) para un servicio de seguridad de TI crítico?. Cumplimiento con el acuerdo maestro. Métricas de rendimiento clave acordadas. Resultados de las pruebas de continuidad del negocio. Resultados de los informes de auditoría independientes.

Al revisar la configuración de los dispositivos de red, lo PRIMERO que debe identificar el auditor de IS es: las buenas prácticas para el tipo de dispositivos de red instalados. si faltan componentes de la red. la importancia de los dispositivos de red en la topología. si los subcomponentes de la red se están utilizando correctamente.

¿Cuál de los siguientes elementos aborda específicamente cómo detectar ataques cibernéticos contra los sistemas de TI de una organización y cómo recuperarse de un ataque?. Un plan de respuestas a incidentes (IRP). Un plan de contingencia de TI. Un plan de continuidad del negocio (BCP). Un plan de continuidad de operaciones (COOP).

El objetivo PRINCIPAL de llevar a cabo una revisión posterior de un incidente es que presenta una oportunidad para: mejorar los procedimientos de control interno. fortalecer la red según las buenas prácticas de la industria. resaltar a la gerencia la importancia de la gestión de respuesta a incidentes. mejorar la concientización de los empleados sobre proceso de respuesta a incidentes.

En una organización pequeña, los desarrolladores pueden realizar cambios de emergencia directamente en sistemas en producción. ¿Cuál de las siguientes opciones controlaría MEJOR el riesgo en esta situación?. Aprobar y documentar el cambio el siguiente día laboral. Limitar el acceso que el desarrollador tiene al sistema en producción a un lapso de tiempo específico. Obtener una segunda aprobación antes de ejecutar el cambio en el sistema en producción. Inhabilitar la opción de compilador en la máquina en la que se ejecuta el sistema en producción.

Durante la auditoría a una pequeña empresa, el auditor SI ha observado que el director de SI tiene acceso de superusuario, lo que le permite procesar solicitudes para cambios en los roles de acceso a la aplicación (tipos de acceso). ¿Cuál de las siguientes opciones debería recomendar el auditor de SI?. Implementar un proceso bien documentado para las solicitudes de cambios de roles de aplicación. Contratar personal adicional para proporcionar una segregación de funciones (SoD) para los cambios de roles de aplicación. Implementar un proceso automatizado para cambiar los roles de aplicación. Documentar detalladamente el procedimiento actual y hacer que esté disponible en la intranet de la empresa.

Durante el trabajo de campo, un auditor SI experimentó un colapso del sistema ocasionado por la instalación de un parche de seguridad. Para proporcionar un aseguramiento razonable de que este evento no se repita, el auditor SI debe asegurarse de que: solo los administradores de sistemas realizan el proceso de parches. el proceso de gestión de cambios del cliente es adecuado. los parches son validados usando pruebas paralelas en la producción. se desarrolla un proceso de aprobación del parche, incluyendo una evaluación de riesgo.

¿Cuál de las siguientes maneras es la MEJOR para que un auditor SI verifique que los servidores criticos de producción están corriendo sobre las últimas actualizaciones de seguridad emitidas por el proveedor?. Garantizar que estén habilitadas las actualizaciones automáticas en los servidores de producción críticos. Verificar manualmente que se apliquen los parches en una muestra de servidores de producción. Revisar el registro de gestión de cambios para los servidores de producción críticos. Ejecutar una herramienta automatizada para verificar los parches de seguridad en los servidores de producción.

¿Cuál de las siguientes cuestiones deben ser una preocupación IMPORTANTE para un auditor de SI que está revisando un acuerdo de nivel de servicio (SLA)?. Un ajuste de servicio como resultado de un informe de excepción tomó un día para implementarlo. La complejidad de los registros de la aplicación utilizados para el seguimiento de servicios dificultó la revisión. Las medidas de rendimiento no fueron incluidas en el SLA. El documento se actualiza anualmente.

Durante una auditoría de recursos humanos (HR), se le informa a un auditor de SI que existe un acuerdo verbal entre los departamentos de TI y HR con relación al nivel de servicios de TI esperado. En esta situación, ¿qué debe hacer el auditor de SI PRIMERO?. Posponer la auditoría hasta que el acuerdo sea documentado. Reportar la existencia del acuerdo sin documentar a la alta dirección. Confirmar el contenido del acuerdo con ambos departamentos. Elaborar un acuerdo de nivel de servicio (SLA) para ambos departamentos.

El administrador de base de datos (DBA) sugiere que la eficiencia de la base de datos puede mejorarse al desnormalizar algunas tablas. Esto derivaría en: pérdida de confidencialidad. aumento de redundancia. acceso no autorizado. fallas de la aplicación.

Segmentar una base de datos muy sensible da como resultado: una exposición reducida. una amenaza reducida. una menor criticidad. una menor sensibilidad.

Cuando el plan de recuperación de desastres (DRP) de una organización tiene un acuerdo recíproco, ¿cuál de los siguientes planteamientos para el tratamiento del riesgo se está aplicando?. Transferencia. Mitigación. Evasión. Aceptación.

¿Cuál de los siguientes procesos debería recomendar un auditor SI para ayudar en el registro de las líneas base para el lanzamiento de software?. Gestión de cambios. Respaldo y recuperación. Gestión de incidentes. Gestión de la configuración.

Durante una revisión de un plan de continuidad del negocio, un auditor SI se dio cuenta de que no se ha definido el punto en el que una situación se declara como crisis. El riesgo más GRANDE asociado a esto es que: se podría retrasar la evaluación de la situación. el plan de recuperación de desastres podría verse afectado. podría no ocurrir la notificación de los equipos. el reconocimiento de crisis potenciales podría no ser efectivo.

Durante una auditoría de SI del plan de recuperación de desastres (DRP) de una empresa global, el auditor SI observa que algunas oficinas remotas tienen recursos de TI locales muy limitados. ¿Cuál de las siguientes observaciones sería la MÁS crítica para el auditor de SI?. No se realizó una prueba para asegurar que los recursos locales pueden mantener los estándares de seguridad y servicio al recuperarse de un desastre o incidente. El plan de continuidad del negocio (BCP) corporativo no documenta con exactitud los sistemas que existen en oficinas remotas. Las medidas de seguridad corporativas no se han incorporado al plan de prueba. No se realizó una prueba para asegurar que las copias de respaldo en cintas de las oficinas remotas se pueden usar.

+¿Cuál de los siguientes es el MEJOR indicador de la efectividad de los procedimientos de copia de respaldo y restauración en el caso de restaurar datos después de un desastre?. Los miembros del equipo de recuperación estaban disponibles. Se cumplieron los objetivos de tiempo de recuperación (RTO). Se hizo un mantenimiento adecuado del inventario de cintas de copias de respaldo. Las cintas de copias de respaldo se restauraron por completo en un sitio alternativo.

+Un auditor SI está revisando el plan de recuperación de desastre (DRP) más reciente de una organización. ¿Qué aprobación es la MÁS importante para determinar la disponibilidad de los recursos del sistema requeridos para el plan?. Dirección ejecutiva. Gerencia de TI. Consejo de dirección. Comité de dirección.

+¿Cuál de las siguientes es la manera MÁS eficiente para probar la efectividad del diseño de un proceso de control de cambios?. Probar una muestra de solicitudes de cambios. Probar una muestra de los cambios autorizados. Entrevistar al personal a cargo del proceso de control de cambios. Realizar una verificación completa del proceso.

+¿Cuál de los siguientes es el MAYOR riesgo de una organización que utiliza los acuerdos recíprocos para la recuperación de desastres entre las dos unidades de negocio?. Los documentos contienen deficiencias legales. Ambas entidades son vulnerables a un mismo incidente. Los sistemas TI no son idénticos. Una de las partes tiene interrupciones más frecuentes que la otra.

¿Cuál de los siguientes controles ambientales es apropiado para proteger los equipos informáticos contra reducciones a corto plazo en la energía eléctrica?. Acondicionadores de líneas de alimentación. Dispositivos de protección contra sobrecargas. Suministros de energía alternativos. Suministros de energía interrumpibles.

Un auditor SI revisa las medidas de seguridad físicas de una organización. En relación con el sistema de tarjeta de acceso, el auditor SI debería estar MÁS preocupado de que: las tarjetas de acceso no personalizadas se entregan al personal de limpieza, que utiliza una hoja de asistencia pero no muestra prueba de identidad. las tarjetas de acceso no están identificadas con el nombre y la dirección de la organización para facilitar la devolución de una tarjeta perdida. la emisión y administración de derechos de las tarjetas se realizan en diferentes departamentos, causando un tiempo de entrega innecesario de las tarjetas nuevas. el sistema utilizado para programar las tarjetas sólo puede reemplazarse después de tres semanas en caso de falla del sistema.

¿Una política de seguridad de la información que indique que "la visualización de contraseñas debe enmascararse o suprimirse", aborda cuál de los siguientes métodos de ataque?. Piggybacking. Búsqueda en la basura (dumpster diving). Espiar sobre el hombro (shoulder surfing). Suplantación de identidad.

Con la ayuda de un oficial de seguridad, otorgar acceso a los datos es responsabilidad de: los propietarios de los datos. los programadores. los analistas de sistemas. los bibliotecarios.

El PRIMER paso en la clasificación de datos es: establecer la propiedad. realizar un análisis de criticidad. definir reglas de acceso. crear un diccionario de datos.

Desde una perspectiva de control, el objetivo PRIMARIO de clasificar los activos de información es: establecer las pautas para el nivel de control de acceso que deben asignarse. asegurarse que los controles de acceso estén asignados a todos los activos de información. asistir a la gerencia y a los auditores en la evaluación de riesgos. identificar cuáles activos necesitan ser asegurados contra pérdidas.

¿Cuál de las siguientes opciones permite a un auditor de SI determinar MEJOR la efectividad de un programa de concientización y capacitación sobre seguridad?. Revisar el programa de capacitación sobre seguridad. Preguntarle al administrador de seguridad. Entrevistar una muestra de empleados. Revisar los recordatorios de seguridad para los empleados.

Un auditor SI está evaluando el desempeño de la red para una organización que está considerando el aumento de su ancho de banda de Internet debido a una degradación del rendimiento durante las horas laborales. ¿Cuál de las siguientes opciones es la causa MÁS probable de la degradación del desempeño?. Software malintencionado (malware) en los servidores. Configuración errónea del cortafuegos (firewall). Aumento de correo no deseado (spam) por el servidor de correo electrónico. Actividades no autorizadas en las redes.

Las redes neurales son eficaces para detectar el fraude debido a que pueden: descubrir nuevas tendencias debido a su naturaleza lineal. solucionar problemas en los que no se pueden obtener conjuntos grandes y generales de datos de capacitación. abordar problemas que requieren la consideración de un gran número de variables de entrada. hacer suposiciones sobre la forma de cualquier curva que relaciona las variables con la salida.

El CSIRT de una organización difunde descripciones detalladas de amenazas recientes. La MAYOR preocupación de un auditor SI debería ser que los usuarios puedan: utilizar esta información para lanzar ataques. compartir el alerta de seguridad. implementar soluciones individuales. no comprender la amenaza.

Un disco duro que contiene datos confidenciales fue dañado sin posibilidad de reparación. ¿Qué debe hacerse con el disco duro para impedir el acceso a los datos contenidos en él?. Reescribir el disco duro con 0s y 1s aleatorios. Formatear el disco duro a bajo nivel. Desmagnetizar el disco duro. Destruir físicamente el disco duro.

En una organización donde se ha definido una línea base (baseline) de seguridad de TI, un auditor de SI debe PRIMERO asegurar: la implementación. el cumplimiento. la documentación. la suficiencia.

¿Cuál de las siguientes es la manera MÁS segura para eliminar datos de cintas magnéticas obsoletas antes de deshacerse de ellas?. Sobrescribir las cintas. Inicializar las etiquetas de cintas. Desmagnetizar las cintas. Borrar las cintas.

Una organización permite el uso de unidades de bus serial universal para transferir los datos operacionales entre oficinas. ¿Cuál de los siguientes es el MAYOR riesgo asociado con el uso de estos dispositivos?. Los archivos no están respaldados. El robo de los dispositivos. El uso de los dispositivos para uso personal. La introducción de software malintencionado (malware) en la red.

¿Cuál de los siguientes tipos de pruebas de penetración simula un ataque real y se utiliza para probar el manejo de incidentes y la capacidad de respuesta del objetivo?. Prueba ciega. Pruebas de objetivos específicos. Pruebas de doble ciego. Pruebas externas.

¿Cuál de las siguientes es la responsabilidad de los propietarios de activos de información?. Implementar la seguridad de la información dentro de sus aplicaciones. Asignar los niveles de criticidad de los datos. Aplicar las reglas de acceso a los datos y programas. Proporcionar seguridad física y lógica de los datos.

¿Cuál de las siguientes opciones de criptografía aumentaría los gastos indirectos/costos?. La encriptación es simétrica, en lugar de asimétrica. Se utiliza una clave de encriptación larga asimétrica. Se encripta el hash, en lugar del mensaje. Se utiliza una clave secreta.

¿Cuál de las siguientes es la función MÁS significativa de una infraestructura de clave pública (PKI) corporativa y una autoridad de certificación que emplea certificados digitales X.509?. Provee la configuración de clave pública/privada para los servicios de encriptación y firma usados por correo electrónico y espacios de archivos. Vincula un certificado digital y su clave pública a la identidad de un suscriptor individual. Provee la fuente autorizada de identidad y detalles personales del empleado. Provee la fuente de autenticación autorizada de acceso a objetos.

Una función de auditoría interna está revisando un script de interfaz común de pasarela o gateway desarrollado internamente para una aplicación web. El auditor SI descubre que el script no fue revisado y probado por la función de control de calidad. ¿Cuál de los siguientes tipos de riesgos es de MAYOR preocupación?. No disponibilidad del sistema. Exposición a software malintencionado (malware). Acceso no autorizado. Integridad del sistema.

¿Cuál de las siguientes es la consideración de seguridad MÁS importante para una organización que quiere trasladar una aplicación de negocios a un servicio basado en la nube (PaaS) proporcionado por un proveedor?. La clasificación y las categorías de procesamiento de datos de la aplicación. El coste del alojamiento interno en comparación con el externo. La reputación de un proveedor en el mercado y los comentarios de los clientes. La disminución en el rendimiento de la aplicación debido al uso de dispositivos compartidos.

Una organización propone que se establezca una red de área local inalámbrica (WLAN). La gerencia pide al auditor SI que recomiende controles de seguridad para la WLAN. ¿Cuál de las siguientes recomendaciones sería la MÁS apropiada?. Proteger físicamente los puntos de acceso inalámbrico para evitar su alteración. Utilizar identificadores de grupo de servicios que identifiquen claramente la organización. Cifrar el tráfico con el mecanismo de Privacidad Equivalente al Cableado (WEP). Implementar el Protocolo simple de gestión de redes (SNMP) para permitir el monitoreo activo.

Un centro de datos tiene un sistema de entrada con tarjeta credencial. ¿Cuál de los siguientes es MÁS importante para proteger los activos informáticos en el centro?. Lectores de credenciales instalados en lugares donde su manipulación se notaría. La computadora que controla el sistema de credenciales es respaldada con frecuencia. Se sigue un proceso para desactivar de inmediato las credenciales extraviadas o robadas. Se registran todos los intentos de entrada con credenciales, más allá de que hayan sido exitosos o no.

Una organización permite el uso de unidades de bus serial universal para transferir los datos operacionales entre oficinas. ¿Cuál de los siguientes es el MAYOR riesgo asociado con el uso de estos dispositivos?. Los archivos no están respaldados. El robo de los dispositivos. El uso de los dispositivos para uso personal. La introducción de software malintencionado (malware) en la red.

Con la ayuda de un oficial de seguridad, permitir el acceso a los datos es responsabilidad de: los propietarios de los datos. los programadores. los analistas de sistemas. los bibliotecarios.

¿Cuál de las siguientes opciones de criptografía aumentaría los gastos indirectos/costos?. La encriptación es simétrica, en lugar de asimétrica. Se utiliza una clave de encriptación larga asimétrica. Se encripta el hash, en lugar del mensaje. Se utiliza una clave secreta.

Una función de auditoría interna está revisando un script de interfaz común de pasarela o gateway desarrollado internamente para una aplicación web. El auditor SI descubre que el script no fue revisado y probado por la función de control de calidad. ¿Cuál de los siguientes tipos de riesgos es de MAYOR preocupación?. No disponibilidad del sistema. Exposición a software malintencionado (malware). Acceso no autorizado. Integridad del sistema.

¿Cuál es el MEJOR enfoque para mitigar el riesgo de un ataque de phishing?. Detección de intrusiones (IDS). Evaluación de seguridad. Autenticación fuerte. Educación del usuario.