Segundo Parcial - Auditoria de Sistemas

5.1 Al decir…”Es un derecho que poseen las personas a efectuar un amparo para conocer los datos referidos a ellos, almacenados en bancos de datos públicos o privados” Seleccione a que se hace referencia. Impuesto sobre la renta. Ley de tránsito. Derecho a la educación. Seguro médico. Habeas data.

5.1 ¿Con que perspectivas han iniciado las nuevas tecnologías en el derecho?. Como una amenaza para la privacidad y la seguridad de los datos. Como una distracción innecesaria en el ámbito legal. Como una forma de complicar y ralentizar los procesos legales. Como una responsabilidad adicional para los abogados y jueces. Como herramientas que brindan ayuda al operador jurídico y como un objeto más de la auditoria.

5.1 ¿Qué servicio puede mejorar y modernizar el derecho informativo como instrumento orientado a la optimización?. Informática Jurídica. Gestión de residuos sólidos. Servicios de transporte público. Arquitectura de software. Control de calidad de alimentos.

5.1 Seleccione a que termino corresponde el siguiente concepto: “se encarga de regular a la comunidad informática y evita que quede sin control alguno. Derecho informativo. Ciberseguridad. Tecnología de la información. Redes sociales. Programación de software.

5.2 ¿A que concepto hacemos alusión cuando se habla de poner en circulación una o más copias de un programa conociendo o pudiendo presumir su naturaleza ilegitima?. A la infracción de los derechos respecto a los programas de software. Distribución responsable de software. Licenciamiento legal de programas de software. Promoción de la innovación tecnológica. Compartir conocimiento y colaboración en el desarrollo de software.

5.2 ¿Qué instituciones jurídicas se pueden utilizar para la protección jurídica de los programas?. Estipulaciones contractuales, secreto comercial, derecho de patentes y derecho de marcas y derecho de autor. Condiciones legales, propiedad intelectual, protección comercial y derechos de autor. Acuerdos contractuales, información confidencial, derechos de patente y derechos de propiedad. Políticas jurídicas, seguridad comercial, legislación de patentes y derechos de autor. Normativas contractuales, confidencialidad comercial, derechos de marca y derechos de propiedad intelectual.

5.2 Realizamos entre 3 personas un desarrollo de software ¿Quién es el autor?. Todos. El cliente que encargó el desarrollo del software. El líder del equipo de desarrollo. La persona que proporcionó la idea inicial. Ninguno de los involucrados, ya que el autor es anónimo.

5.3 ¿Cómo se conoce el principio de finalidad de la Ley Orgánica?. Antes de la creación de un archivo de datos de carácter personal ha de conocerse el fin del mismo. No es necesario conocer el fin del archivo de datos de carácter personal antes de su creación según la Ley Orgánica. La Ley Orgánica no establece ninguna exigencia sobre la finalidad de los archivos de datos de carácter personal. La finalidad del archivo de datos de carácter personal no es relevante según lo establecido en la Ley Orgánica. La Ley Orgánica no hace referencia al principio de finalidad en relación a los archivos de datos de carácter personal.

5.3 Determine si la siguiente afirmación es VERDADERA o FALSA. “El secreto 165/1994, al igual que la Ley 11.723, protege las obras de base de datos y software. Dispone que tanto los programas de ordenador como las “obras de base de datos” sean incluidas dentro del artículo 1 de la Ley 11.723 como obras protegidas”. Verdadero. Falso.

5.3 Supongamos que nos encontramos en el área de auditoría, y desde los niveles superiores jerárquicos nos preguntan sobre el marco normativo de la protección de datos de carácter personal. ¿Cuál sería la ley más abarcativa en este contexto?. Ley 27.483. Ley de Protección de la Biodiversidad. Ley de Acceso a la Información Pública. Ley de Propiedad Intelectual. Ley de Protección al Consumidor.

5.4 En el código penal argentino hay al menos 45 tipos penales que pueden configurarse de forma directa a través de dispositivos informáticos. El delito contra el orden público ¿puede efectuarse a través de dispositivos informáticos?. Si, es uno de los delitos más frecuentes en nuestro país. No, los delitos contra el orden público no pueden cometerse a través de dispositivos informáticos. Solo en casos muy excepcionales se puede cometer el delito contra el orden público utilizando dispositivos informáticos. Los delitos contra el orden público no están contemplados en el código penal argentino. El delito contra el orden público solo puede ser cometido de forma física y no a través de dispositivos informáticos.

5.4 Indique a que se hace referencia con el siguiente concepto “Es una persona o un grupo de ellas que tienen la inteligencia y la capacidad para entrar a cualquier sistema computacional sin estar autorizados”. Hacker. Programador de seguridad informática. Especialista en sistemas computacionales. Administrador de redes informáticas. Ingeniero de software.

5.4 La lucha contra los delitos informáticos cada vez es más fuerte por parte de diversas empresas, pero ¿debido a que cuestiones muchos delitos apenas han podido ser correctamente tipificados en la legislación vigente? Seleccione las 3(tres) opciones correctas. La inexistencia de delitos informáticos en la actualidad. La falta de interés por parte de las empresas en combatir los delitos informáticos. La falta de adaptación de los organismos legislativos a los rápidos cambios y las nuevas situaciones provocadas por la aparición de las nuevas tecnologías. La dificultad para la obtención de pruebas fehacientes y para la identificación de los responsables, debido a las técnicas de ocultación de las direcciones IP o la utilización de equipos -zombi-. La inadecuada preparación y la falta de medios suficientes (técnicos, organizativos y humanos) en los cuerpos y fuerzas de seguridad para luchar y prevenir los delitos informáticos.

5.4 Seleccione a quien hace referencia el siguiente concepto: “Aquellas conductas ilícitas susceptibles de ser sancionadas por el derecho penal”. Delito Informático. Responsabilidad civil. Infracción administrativa. Delito civil. Contravención penal.

5.5 Considerado los requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras comunicados por el B.C.R.A., indique a que termino corresponde el siguiente concepto “La información critica o sensible debe ser protegida a fin de evitar su uso no autorizado”. Confidencialidad. Integridad. Disponibilidad. Autenticidad. Auditabilidad.

5.5 En caso que una persona sea víctima de un posible delito informático ¿Qué es lo que debe hacer?. No borrar, destruir o modificar la información que hay en la computadora, equipo móvil, celular, etc. relacionada al hecho. Borrar toda la información relacionada con el posible delito informático. Modificar deliberadamente la evidencia para hacerla más convincente. Destruir el equipo utilizado para cometer el delito informático. No hacer nada y esperar a que se resuelva por sí mismo.

5.5 En la última comunicación incorporada por el B.C.R.A. “A” 6017, indique a que termino se refiere el siguiente concepto: “La información y sus procesos relacionados, debe ser relevante y pertinente para el desarrollo de la actividad. Debe presentarse de forma correcta, coherente, completa y pueda ser utilizada en forma oportuna”. Eficacia. Exactitud. Eficiencia. Seguridad. Legalidad.

5.5 Indique 4 tipos de riesgos tecnológicos: Seleccione las 4 (cuatro) respuestas correctas. Revelación o divulgación. Destrucción o eliminación. Robo. Riesgo de contagio de virus en sistemas informáticos. Ejecución no efectiva.

5.5 Seleccione a que banco pertenece la comunicación A 4609 (y sus modificatorias) que define los requisitos mínimos de gestión y control para las entidades financieras de Argentina, sobre los riesgos de la tecnología informática y de los sistemas de información. BCRA (Banco Central de la República Argentina). BM (Banco Mundial). BID (Banco Interamericano de Desarrollo). BNA (Banco de la Nación Argentina). BPBA (Banco Provincia de Buenos Aires).

5.5 Seleccione a que termino alude el siguiente concepto: “su función es la de proveer y evitar la ocurrencia de los riesgos en los sistemas de información”. Controles informáticos. Sistemas de seguridad. Auditoría interna. Administración de riesgos. Mantenimiento de infraestructura.

5.5 Teniendo en cuenta la norma ISO 31000, especialmente elaborada para la gestión de riesgos, seleccione 4 (cuatro) de sus principios. Facilitara la mejora continua de la organización. La gestión de riesgos debe crear y proteger el valor. Debe ser sistémica, estructurada y oportuna. Debe ser una parte integral de los procesos. La norma ISO 31000 se enfoca únicamente en la gestión de riesgos financieros.

5.6 Considere los 3 siguientes factores claves: “Confianza, poder, visión”. Determine para quien se corresponde. Para el desarrollo de un EDI. Para el desarrollo de un sistema operativo. Para el desarrollo de una red social. Para el desarrollo de una aplicación móvil. Para el desarrollo de un sistema de gestión de inventario.

5.6 Como personal de una empresa del área de IT, tenemos que seleccionar las ventajas de la EDI sobre las transacciones básicas para los procesos B2B ¿Cuáles son las principales? Seleccione las 2 (dos) opciones correctas. Automatizado de procesos. Mejora la eficiencia y productividad. Mayor complejidad en las operaciones comerciales. Menor seguridad en el intercambio de datos. Aumento en los costos de implementación.

5.6 Determine a quien hace referencia el siguiente concepto. “elimina la intervención manual en la transmisión de documentos normalizados. Su uso es imprescindible, sobre todo si se quiere trabajar en determinados sectores, que lo exigen debido a los múltiples beneficios que ofrece a las empresas”. Intercambio electrónico de datos (EDI). Correo electrónico. Fax. Llamadas telefónicas. Mensajería postal.

5.6 Indique 4 beneficios que el EDI (Intercambio Electrónico de Datos) proporciona. Selecciona las 4 (cuatro) respuestas correctas. Mejoran las relaciones comerciales. La información que se intercambia logra mayor calidad. El trabajo es más oportuno y se desarrolla en menor tiempo. Reducción de los costos. Incremento de los costos operativos.

5.6 Indique a que términos hace referencia el siguiente concepto: “En una organización que tiene a cargo una ref internacional de comunicaciones financieras entre bancos y otras entidades financieras”. SWIFT. HTML. XML. HTTPS. TCP/IP.

5.6 ¿Qué requisitos hay que cumplir con EDI?. El intercambio se ha de realizar por medios electrónicos, el formato tiene que estar formalizado y la conexión ha de ser de computador a computador. El intercambio debe realizarse en formato físico impreso. No es necesario formalizar el formato de intercambio. La conexión puede ser realizada a través de dispositivos móviles. El intercambio puede ser realizado de forma manual, sin necesidad de medios electrónicos.

5.6.1 Indique a quien compete el siguiente concepto “comprender cualquier tipo de envío de dinero a través de medios electrónicos. Incluye a cualquier tecnología de comunicación que pueda efectuar una transmisión de fondos de manera automática, inmediata y simultanea, por pedido del titular de una cuenta en una entidad financiera”. Transferencia electrónica de fondos (TEF). Cheque en papel. Pago en efectivo. Tarjeta de crédito. Transferencia bancaria tradicional.

5.6.1 Indique por cual banco, en Argentina, se encuentra regulada la transferencia electrónica de fondos, dentro de sus normativas del sistema nacional de pagos-transferencia, junto con las diversas regulaciones. Banco Central (BCRA). Banco Nación (BN). Banco Provincia (BP). Banco Santander Río (BSR). Banco Galicia (BG).

5.6.1 Necesitamos realizar una transferencia de fondos automática y debe ser ejecutada inmediatamente por el titular de la cuenta bancaria por medio de un sistema electrónico ¿Cómo se conoce dicha acción?. Transferencia electrónica de fondos (TEF). Pago en efectivo. Pago en efectivo. Transferencia bancaria tradicional. Pago con tarjeta de crédito.

5.6.2 Desde el aspecto tecnológico ¿Cuáles de los siguientes enunciados son casos de comunicación? Seleccione las 4 (cuatro) opciones correctas. Comunicación entre dos computadores personales. Comunicación entre varios computadores personales a través de un centro de compensación. Comunicación entre dos sistemas de información. Comunicación entre varios sistemas informativos mediante un centro de compensación. Comunicación entre dos electrodomésticos de cocina.

5.6.2 Desde el grado de la inmediatez, ¿Cuál es uno de los aspectos a tener en cuenta a la hora de ver la calidad de las nuevas tecnologías para los enfoques contractuales?. En nuestro derecho existe disparidad de criterios entre el código civil y el c comercial a la hora de determinar en que momento se perfecciona el contrato. En nuestro derecho no existe ninguna consideración sobre la inmediatez en relación a la calidad de las nuevas tecnologías para los enfoques contractuales. En nuestro derecho, la inmediatez no tiene ninguna relevancia en la evaluación de la calidad de las nuevas tecnologías para los enfoques contractuales. Según nuestro código civil y comercial, la inmediatez no es un factor determinante para evaluar la calidad de las nuevas tecnologías en los enfoques contractuales. Según nuestro código civil y comercial, la inmediatez no es un factor determinante para evaluar la calidad de las nuevas tecnologías en los enfoques contractuales.

5.6.2 Seleccione a quien alude el siguiente concepto. “se realiza mediante la utilización de algún elemento electrónico, con influencia decisiva, real y directa sobre la información de la voluntad, el desenvolvimiento o la interpretación de un acuerdo”. Contratación electrónica. Contrato verbal. Contrato físico en papel. Contrato notarial. Contrato telefónico.

5.6.3 Indique a que método, utilizado para la autenticación de los documentos electrónicos, se hace referencia en el siguiente concepto: “consiste en el arte o la ciencia de escribir un texto de tal forma, que sea entendido solamente por quienes conocen los medios de descifrado”. Criptografia. Esteganografía. Decodificación. Compresión de datos. Codificación binaria.

5.6.3 Indique a que termino se refiere la siguiente característica. “Aporta estándares necesarios para que este sea sencillo, rápido y eficaz. Su propósito principal es eliminar el ingreso duplicado de datos y mejora la velocidad y precisión de flujo de información entre compañías, en forma computarizada”. Intercambio electrónico de datos (EDI). Fax. Correo electrónico. Mensajería postal. Teléfono.

5.6.3 Seleccione 3 (tres) métodos para la autenticación de los documentos electrónicos, que habitualmente se utilizan. Reconocimiento de características físicas. El código de ingreso. Criptografía. Reconocimiento de huella dactilar. Escáner de iris.

5.6.3 Seleccione a que termino corresponde el siguiente concepto: “aquel documento proveniente de un sistema de elaboración electrónica (tanto el formado por el elaborador como el documento formado por medio del elaborador)”. Documento electrónico. Documento impreso en papel. Documento manuscrito. Documento escrito a máquina de escribir. Documento fotocopiado.

5.7.1 Indique que termino abarca los siguientes aspectos: Quienes tienen acceso a la información; adecuación de aquellos al cargo que ostentan; conocimiento de la normativa; reconocimiento en el contrato de la labor que cumplen y la responsabilidad que ostentan; y, que los contratos con los proveedores aseguren la confidencialidad del archivo y de la información. Auditoria de las personas. Control de calidad de los productos. Administración de recursos humanos. Gestión de riesgos laborales. Política de responsabilidad social corporativa.

5.7.1 ¿Qué implica que el conocimiento de la normativa deba mantener una actitud ética delante del archivo?. Implica que si un trabajador de la empresa, vulnerando sus obligaciones, rompe este deber de secreto, rompe también la buena fe contractual, siendo ello motivo de despido disciplinario. Implica que el conocimiento de la normativa permite acciones ilegales con el archivo. Implica que el conocimiento de la normativa permite divulgar información confidencial del archivo. Implica que el conocimiento de la normativa no tiene impacto en el comportamiento ético. Implica que el conocimiento de la normativa no tiene consecuencias en el ámbito laboral.

5.7.2 ¿Qué es la auditoria de la información?. Cualquier auditoria que abarque la revisión y evaluación de todos los aspectos de los sistemas automáticos de procesamiento de información, incluyendo los procedimientos no automáticos relacionados. Cualquier auditoria que involucre la inspección y evaluación de algunos aspectos de los sistemas automáticos de procesamiento de información, excluyendo los procedimientos no automáticos relacionados. Una auditoria selectiva que cubre solo algunos aspectos de los sistemas automáticos de procesamiento de información, sin incluir los procedimientos no automáticos relacionados. Una auditoria limitada que se enfoca únicamente en los procedimientos no automáticos relacionados con los sistemas de procesamiento de información. Cualquier auditoria que se centra únicamente en los aspectos de los sistemas automáticos de procesamiento de información, sin considerar los procedimientos no automáticos relacionados.

5.7.2 Seleccione con que termino se relacionan las siguientes características: Se debe cumplir con los derechos generales y los específicos en lo particular. Calidad de datos, adecuación y pertinencia. La información no podrá usarse para finalidades incompatibles, debe ser exacta y estar al día. Debe ser almacenada, Verificando que haya recogido por medios fraudulentos, desleales o ilícitos. Auditoría de la información. Derecho de acceso a la información. Protección de datos personales. Responsabilidad en el uso de la información. Seguridad de la información.

5.7.3 Indique a que se hace referencia con las siguientes características de acuerdo a Ley Orgánica de Protección de datos (LOPD): “queda definida mediante las directivas de acceso a los objetos” La definición se establece mediante SACL (Derecho de acceso) para cada objeto correspondiente. Dicho control quedara igualmente determinada para los objetos del directorio activo. Auditoria de los ficheros. Mecanismos de encriptación de datos. Gestión de la privacidad de los usuarios. Protección contra ataques informáticos. Registro de transacciones y eventos.

5.7.3 ¿Qué define la Ley Orgánica 5/92 de 29 de octubre?. Limitar el uso de la información y otras técnicas y medios de tratamiento automatizado para garantizar el honor y la intimidad personal. Regular el uso de los medios de transporte público. Establecer normas para la protección del medio ambiente. Regular el acceso a la educación en instituciones públicas. Establecer las normas para el funcionamiento de los servicios de salud.

6.1 Determine a que termino hace referencia el siguiente concepto: “Se encarga de comprobar la existencia de los medios físicos, así como su funcionalidad, racionalidad y seguridad. Debe garantizar la integridad de los activos humanos, lógicos y materiales de un Centro de Proceso de Datos (CPD)”. Auditoría física. Auditoría contable. Auditoría de marketing. Auditoría ambiental. Auditoría de recursos humanos.

6.1 En relación con la auditoria ofimática, podemos mencionar la técnica de la observación ¿Cuál de las siguientes opciones refiere a dicha técnica?. A través de ella se podrá verificar y comprobar aspectos como: cumplimiento de las políticas y normas en el proceso de adquisición, contratación y fiabilidad del inventario ofimático, todo el software instalado en la institución. A través de ella se podrá verificar y comprobar aspectos irrelevantes para la auditoría ofimática, como el clima laboral y el horario de trabajo. A través de ella se podrá verificar y comprobar aspectos relacionados con la seguridad informática y el control de accesos, que no son relevantes para la auditoría ofimática. A través de ella se podrá verificar y comprobar aspectos relacionados con la gestión financiera y contable, que no son relevantes para la auditoría ofimática. A través de ella se podrá verificar y comprobar aspectos relacionados con la gestión de recursos humanos y el reclutamiento de personal, que no son relevantes para la auditoría ofimática.

6.1.2 Indique 4 fuentes que deben estar accesibles en todo centro de proceso de datos. Seleccione las 4 respuestas correctas. Inventario de soportes (papel, magnéticas). Políticas, normas y planes sobre seguridad. Políticas del personal. Actas e informes de técnicos y consultores. Registro de recetas de cocina.

6.1.2 Seleccione a que termino alude el siguiente concepto: “es una estrategia planificada constituida por un conjunto de recursos de respaldo, una organización de emergencia y procedimientos de actuación, encaminada a conseguir una restauración progresiva y ágil de los servicios de negocio afectados por una paralización total o parcial de la capacidad operativa de la empresa”. Plan de contingencias. Plan de marketing. Plan de expansión. Plan de recursos humanos. Plan de financiamiento.

6.1.3 Seleccione la opción correcta. ¿Cuáles son las tres primeras fases de la auditoria física?. 1)Alcance de la Auditoria;2) Adquisición de Información General, 3) Administración y planificación. 1)Evaluación de proveedores; 2) Implementación de controles físicos; 3) Revisión de políticas y procedimientos. 1)Análisis de riesgos; 2) Recopilación de datos específicos; 3) Organización y preparación de informes. 1)Evaluación de infraestructura; 2) Identificación de vulnerabilidades; 3) Implementación de medidas correctivas. 1)Revisión de cumplimiento normativo; 2) Recopilación de información de activos; 3) Desarrollo de planes de acción.

6.1.3 Seleccione la opción correcta. ¿Qué técnicas se proponen para la auditoria física?. Observación de las instalaciones, sistemas, cumplimiento de normas y procedimientos. Análisis de documentos, políticas y procedimientos. Inspección de registros y archivos físicos. Entrevistas con el personal de seguridad. Evaluación de la infraestructura de tecnología de la información.

6.1.3 Seleccione la técnica de auditoría física que se refiere a lo siguiente: “percepción de las instalaciones, sistema, cumplimiento de normas y procedimientos, etc. No solo con espectador sino también con actor”. Observación de las instalaciones. Análisis de los informes financieros. Entrevistas con el personal administrativo. Revisión de políticas y procedimientos. Pruebas de control de calidad.

6.2 La auditoría de una aplicación informática, como toda auditoria, debe ser objeto de: Una planificación cuidadosa. Un proceso de selección aleatorio. Un análisis de costo-beneficio. Una ejecución rápida y sin preparación previa. Un enfoque intuitivo y sin estructura definida.

6.2 Supongamos que necesitamos realizar una revisión del sistema informatizado que genera, procesa, almacena, recupera, comunica y presenta datos relacionados con el funcionamiento de la oficina. ¿Qué tipo de auditoría realizaríamos?. Auditoria ofimática. Auditoría financiera. Auditoría de recursos humanos. Auditoría de marketing. Auditoría de gestión de proyectos.

6.2.1 Seleccione las 4 (cuatro) opciones correctas ¿Cuáles de las siguientes opciones refieren a ejemplos de los aspectos de la seguridad física?. Ubicación del CPD dentro del edificio. Seguridad de los medios. Potencia eléctrica. Medidas de protección. Tamaño de los escritorios en el CPD.

7.1 Determine si el siguiente enunciado es afirmación es verdadero o falso: “las metodologías para auditar base de datos, generalmente, se agrupan en dos tipos: metodologías tradicionales y metodologías de evaluación de riesgos”. Verdadero. Falso.

7.1 La auditoria, en los motores de base de datos, incluye la capacidad de demostrar: Quien accede a los datos; cuando se accedió a los datos; desde que tipo de dispositivo o aplicación, desde que ubicación en la red, que sentencias SQL se ejecutaron. Quién modificó los datos; cuándo se modificaron los datos; desde qué dispositivo o aplicación se realizaron las modificaciones; desde qué ubicación en la red se realizaron las modificaciones; qué comandos SQL se ejecutaron. Quién eliminó los datos; cuándo se eliminaron los datos; desde qué dispositivo o aplicación se realizaron las eliminaciones; desde qué ubicación en la red se realizaron las eliminaciones; qué comandos SQL se ejecutaron. Quién creó los datos; cuándo se crearon los datos; desde qué dispositivo o aplicación se realizaron las creaciones; desde qué ubicación en la red se realizaron las creaciones; qué comandos SQL se ejecutaron. Quién accedió a los datos; cuándo se accedió a los datos; desde qué dispositivo o aplicación se realizó el acceso; desde qué ubicación en la red se realizó el acceso; qué consultas SQL se ejecutaron.

7.1 Indique a que termino hacer referencia el siguiente concepto: “consiste en la revisión de todo el entorno de las base de datos, utilizando una lista de comprobación o check list. Estas listas deben comprender todos los aspectos a tener en cuenta y, generalmente, se utilizan al auditar los productos de base de datos.”. Metodología tradicional para auditar base de datos. Análisis de datos estructurados. Auditoría de sistemas operativos. Revisión de la infraestructura de red. Pruebas de rendimiento de la base de datos.

7.1 Seleccione a que termino se refiere el siguiente párrafo “Se identifican los riesgos relacionados con la base de datos. Una vez identificados estos riesgos, es posible crear objetivos, técnicas y pruebas para su control. Las técnicas pueden ser de carácter preventivo, detectivo o correctivo”. Metodología de evaluación de riesgos para auditar base de datos. Análisis de vulnerabilidades en la base de datos. Evaluación de amenazas y riesgos en la base de datos. Implementación de controles de seguridad en la base de datos. Pruebas de control y validación en la base de datos.

7.1 Seleccione las 4 (cuatro) opciones correctas. Para los diagramas y contenido de la base de datos, ¿Cuáles son los pasos más importantes?. Niveles de seguridad de cada anterior clasificación de datos. Esquema de clasificación de datos en cuanto a su seguridad. Datos y diccionario de datos corporativo. Modelo de arquitectura de información y su actualización, que es necesaria para mantener el modelo consistente con las necesidades de los usuarios y con el plan estratégico de tecnologías de la información. Lista de reproducción de música en la base de datos.

7.1 Teniendo presente los tipos de pruebas de auditoría a aplicar sobre las bases de datos, indique a cuál alude el siguiente concepto: “es el examen de la evidencia disponible de que una o más técnicas de control interno están en operación o actuando durante el periodo auditado”. Prueba de cumplimiento. Prueba de rendimiento de la base de datos. Prueba de recuperación ante desastres de la base de datos. Prueba de seguridad de la base de datos. Prueba de integridad de la base de datos.

7.2 Indique a que termino se refiere el siguiente criterio: “abarca desde el estudio previo hasta su explotación; se basan en los propuestos por la ISACA a principios de esta década, MENKUS (1990) y en los recientemente publicados COBIT, ISACF (1996), que minimizan los riesgos potenciales a los que está sometido el entorno de base de datos.”. Objetivos de control en el ciclo de vida de una base de datos. Administración de proyectos de base de datos. Diseño físico de la base de datos. Optimización del rendimiento de la base de datos. Gestión de la seguridad de la base de datos.

7.3 A continuación seleccione 4 (cuatro) procedimientos y políticas que deberían establecerse en todos los entornos de base de datos para el control interno y auditoría. Organización de la base de datos y diccionario de datos. Determinación y mantenimiento de la propiedad de la base de datos. Procesos de administración para proteger los recursos de datos. Procedimientos de conciliación entre registros reales y de datos. Procedimientos de planificación de eventos sociales en la base de datos.

7.3 Supongamos que se deben establecer unas funciones de administración de datos y de base de datos fuertes, para que se pueda controlar la distribución de los datos. ¿De qué aspecto del entorno de una base de datos hablamos?. Protocolos y sistemas distribuidos. Estándares de diseño gráfico en la base de datos. Procedimientos de selección de colores en la base de datos. Políticas de uso de emojis en la base de datos. Métodos de encriptación de emoticones en la base de datos.

7.4 Considere la siguiente conceptualización sobre una de las técnicas para el control de base de datos en un entorno complejo “Sirven para identificar los conjuntos de datos del SI junto con los controles de seguridad o integridad implementados sobre los mismos” Determine a cuál se hace referencia. Matrices de control. Diagramas de flujo de datos. Registros de auditoría. Gráficos de Gantt. Diagramas de entidad-relación.

7.4 Indique a que termino se refiere el siguiente concepto “técnica con que se documenta el flujo, almacenamiento y procesamiento de los datos en todas las fases que pasan desde el mismo momento en que se introducen, identificando los componentes del sistema que atraviesan (tanto hardware) y los controles asociados”. Análisis de los caminos de acceso. Diagrama de torta. Análisis de tendencias. Diagrama de dispersión. Análisis de textos.

7.5 Indique si esta afirmación es verdadera o falsa: “La auditoria de las aplicaciones se centra en las etapas, donde los sistemas de información se encuentran implementados en la organización y en el funcionamiento productivo. En este punto, ya se han superado las etapas de definición, análisis, diseño, desarrollo, implementación y testeo, tanto del hardware como de los sistemas operativos, base de datos y aplicaciones informáticas”. Verdadero. Falso.

7.5 Teniendo presente los tipos de controles en una auditoria de aplicaciones, indique a que control corresponde el siguiente concepto: “estos son controles incorporados en los programas de aplicación para asegurar que la información se registre y mantenga de forma completa y exacta”. Controles automáticos. Controles manuales. Controles aleatorios. Controles ad hoc. Controles inalámbricos.

7.5.1 Seleccione la opción correcta. En el terreno de una aplicación informática, el control interno se materializa fundamentalmente en controles de dos tipos: Controles manuales y automáticos. Controles físicos y virtuales. Controles primarios y secundarios. Controles estáticos y dinámicos. Controles pasivos y activos.

7.5.2 Seleccione a que herramienta de las más comunes utilizadas en la auditoria de aplicaciones, corresponde el siguiente concepto: “sirven para determinar el alcance y los objetivos que tendrá la auditoria y para conocer los niveles de satisfacción de los usuarios de las aplicaciones.”. Encuestas. Pruebas de penetración. Análisis de vulnerabilidades. Revisión de código. Entrevistas con el equipo de desarrollo.

7.5.2 Seleccione las 4 (cuatro) opciones correctas. Como protocolos de alto nivel ¿Cuáles son los mas importantes?. OSI. SNA. TCP/IP. Netbios. IPX.

7.5.3 Teniendo presente las etapas de la auditoria de aplicaciones, indique a cual se refiere el siguiente concepto: “es lograr un conocimiento básico de las aplicaciones que posee la organización y del entorno informático donde están instaladas. Esto se puede obtener a través de un estudio previo donde se puedan determinar los puntos débiles y funciones con posibles riesgos”. Recolección de información y documentación de las aplicaciones. Evaluación de la infraestructura de red. Análisis de la seguridad física de los servidores. Pruebas de rendimiento de las aplicaciones. Evaluación de la capacitación del personal en el uso de las aplicaciones.

8.1 ¿En qué consiste la auditoria en seguridad informática?. Es un estudio profesional que realizan expertos ajenos a la empresa con el objetivo de detectar las vulnerabilidades de la implementación de tecnología en la estrategia de negocio. Es una revisión interna realizada por los propios empleados de la empresa para evaluar la seguridad de la información. Consiste en la implementación de medidas de seguridad informática sin realizar ninguna evaluación previa. Se trata de un proceso de monitoreo continuo de la seguridad informática en tiempo real. Es un estudio que se realiza únicamente en los sistemas informáticos internos de la empresa, sin considerar la seguridad en línea.

8.1 Esta auditoría, además de comprender la seguridad informática, también abarcar la información en otros soportes y los ambientes donde se desarrollan las operaciones de la organización. Se enfoca en verificar que los modelos de seguridad están en consonancia con las nuevas arquitecturas, plataformas y medios de comunicación y transmisión de datos”. Indique a que auditoria se hace referencia. Auditoria de la seguridad de los SI. Auditoria de sistemas operativos. Auditoria de redes de comunicación. Auditoria de software. Auditoria de hardware.

8.1 Toda auditoria de seguridad informática debe detenerse a analizar la ……… de los sistemas y programas informativos. Eficiencia. Compatibilidad. Flexibilidad. Usabilidad. Estabilidad.

8.1.1 Determine a quien se hace referencia en el siguiente párrafo: “por un lado, se deben analizar las protecciones físicas para la información, los programas, las instalaciones, el equipamiento, las redes. Por otro lado, se deben considerar las medidas de protección para el personal, como son las medidas de evacuación, las alarmas y las salidas de emergencia”. Auditoria de la seguridad física. Auditoria de la seguridad de la información. Auditoria de la seguridad lógica. Auditoria de la seguridad del personal. Auditoria de la seguridad ambiental.

8.1.1 Supongamos que necesitamos llevar a cabo una observación sobre la estructura, diseño, construcción y distribución de los edificios y sus plantas ¿Qué tipo de protección estaríamos realizando dentro de la auditoria de seguridad?. Fisica. Tecnológica. Virtual. Digital. Administrativa.

8.1.3 Considere lo siguiente: “se debe validar que todos los proyectos hayan obtenido todas las aprobaciones requeridas por procedimientos internos de la organización. Además, se deben verificar los permisos que los desarrolladores tienen sobre lo programas, los datos y los entornos de trabajo, y también se debe controlar la implementación de nuevos programas o librerías a producción”. Indique a que auditoria alude. Auditoria de seguridad de desarrollo de aplicaciones. Auditoria de seguridad física. Auditoria de seguridad de la red. Auditoria de seguridad en las comunicaciones. Auditoria de seguridad de los sistemas informáticos.

8.1.4 Dentro del contexto de auditoría de seguridad del área de producción de datos, indique 2 (dos) controles existentes en diferentes puntos del ciclo de vida de los datos. Proveniencia de los datos. Salidas de los procesos. Seguridad física de los datos. Control de accesos al centro de datos. Auditoría de los backups.

8.1.5 Auditoria verifica que las políticas de seguridad para las redes de datos y comunicaciones reconozcan que toda información transmitida es propiedad de la entidad y no debe utilizarse para fines no autorizados. Tambien, se revisan los sistemas de protección contra posibles accesos externos a las redes. Indique a quien se hace referencia. Auditoria de la seguridad en comunicaciones y redes. Auditoria de la seguridad física. Auditoria de la seguridad lógica. Auditoria de la seguridad informática. Auditoria de la seguridad en aplicaciones.

8.1.5 Dentro de la auditoria de la seguridad en comunicación y redes, seleccione 4 (cuatro) puntos complementarios a revisar. Transferencia de archivos y controles existentes. Información y programas transmitidos y uso de cifrado. Tipos de terminales y protecciones: físicas, lógicas, llamada de retorno. Protección de conversaciones de voz en caso necesario. Configuración de las impresoras de red.

8.2 ¿Cuál de las siguientes opciones es correcta en relación a la auditoria de redes?. En un internet plagado de ataques externos, la seguridad de la red debe ser una prioridad para su compañía. En un entorno de redes seguro, la seguridad de la red no es una preocupación importante para su compañía. La auditoria de redes no es necesaria en un entorno de internet con ataques externos. La seguridad de la red no es una prioridad para las compañías en un entorno de internet plagado de ataques externos. En la auditoria de redes, la seguridad de la red no es un aspecto relevante a considerar.

8.2 Seleccione el término correspondiente a técnicas y métodos en una auditoria de seguridad. Cuestionarios, la observación, el muestreo, las pruebas. Encuestas, la inspección, el análisis, los experimentos. Entrevistas, la observación, el muestreo, las pruebas. Investigaciones, el análisis, el cuestionario, los estudios. Sondeos, la inspección, la experimentación, los exámenes.

8.2 La auditoria forense es un servicio que se contrata tras haberse producido un incidente de seguridad. Verdadero. Falso.

8.2 Una……………… es una evaluación estructurada de como las actividades en el lugar de trabajo pueden afectar la salud y la seguridad de quienes forman parte de la organización. Auditoría de seguridad. Evaluación de riesgos. Investigación forense. Auditoría de los backups. Auditoria de software.

9.1 Considere el siguiente concepto. “es una descripción abstracta para el diseño de comunicaciones por capas y para un protocolo de redes de computadoras. En su forma más básica, divide a la arquitectura de la red en siete capas”. Seleccione a que termino alude. Modelo OSI. Modelo TCP/IP. Estructura de red de siete capas. Arquitectura de red de siete niveles. Modelo de comunicación de siete niveles.

9.1 Indique, dentro del modelo OSI, a que capa corresponde el siguiente concepto: “Segmenta los datos originados en el host emisor y los re ensambla en una corriente de datos dentro del sistema del host receptor”. Capa de transporte. Capa de enlace de datos. Capa de red. Capa de sesión. Capa de presentación.

9.2 Indique las 3 incidencias que pueden producirse básicamente en las redes de comunicaciones, por causas propias de la tecnología: Seleccione las 3 (tres) respuestas correctas. Ausencia de tramas. Alteración de secuencia. Alteración de bits. Fallo en el enrutamiento. Pérdida de conexión.

9.4 Ante el auge que está tomando el protocolo TCP/IP, como una primera clasificación de redes, seleccione para que redes se está adoptando las nomenclaturas basados en este protocolo: Intranet, Extranet, Internet. Redes locales (LAN). Redes de área amplia (WAN). Redes de almacenamiento (SAN). Redes de telefonía (VoIP).

9.4 Supongamos que hablamos de la identificación del grupo de protocolos de red que hacen posible la transferencia de datos en redes, entre que equipos informáticos e internet ¿De qué hablamos?. TCP/IP. HTTP. FTP. DNS. SMTP.

9.6 Teniendo presente la auditoria de redes, a cual corresponde el siguiente concepto: “es necesario: vigilar la red, revisar los errores o situaciones anómalas que se producen, y tener establecidos los procedimientos para detectar y aislar equipos en situación anómala. Utilizar cifrado para evitar que la información que viaja por la red pueda ser espiada”. Auditoria de redes lógicas. Auditoría de redes físicas. Auditoría de seguridad informática. Auditoría de sistemas operativos. Auditoría de bases de datos.