COMPILACION DE PREGUNTAS SEGURIDAD INFORMATICA

EXAMEN CISA

1. Un auditor de SI, al realizar una revisin de los controles de una aplicacin, descubre una debilidad en el software
del sistema, lo que podra afectar materialmente la aplicacin. El auditor de SI debe:
A.
Hacer caso omiso de estas debilidades de control como una revisin del software del sistema est ms all del

alcance de esta revisin

B. Llevar a cabo una detallada revisin del software del sistema y reportar las debilidades de control
C. Incluir en el informe una declaracin de que la auditora se limit a una revisin de los controles de la aplicacin

Revisar los controles relevantes del sistema de software y recomendar una detallada revisin del
software del sistema.
D.

No se espera que el auditor deba hacer caso omiso de las debilidades de control slo porque estn
fuera del alcance de una revisin actual. Adems, la realizacin de una detallada revisin de
software de sistemas puede obstaculizar la agenda de la auditora y el auditor puede no ser
tcnicamente competente para hacer tal revisin en este momento. Si hay deficiencias de control que
han sido descubiertos por el auditor, deben ser revelados. Mediante la emisin de un descargo de
responsabilidad, esta responsabilidad podra no aplicarse. Por lo tanto, la opcin adecuada sera
revisar los controles del sistema de software y recomendar un software de sistemas detallados para
los que se pueden recomendar recursos adicionales.
2. La razn para tener controles en un entorno SI:
A. el entorno manual se mantiene sin cambios, pero las funciones de control implementadas pueden
ser diferentes.
B. el entorno manual se mantiene sin cambios, por lo tanto, las funciones de control implementadas
pueden ser diferentes
C. el entorno manual se mantiene sin cambios, pero las funciones de control implementadas sern
los mismos
D. el entorno manual se mantiene sin cambios, y las funciones de control implementadas tambin
sern los mismos
Los objetivos de control interno aplicables a todas las reas, ya sea manual o automatizado. Hay
objetivos adicionales que se deben alcanzar en el medio ambiente es, en comparacin con el medio
ambiente manual. Objetivos de control comunes se mantienen sin cambios, tanto en el medio
ambiente es y el medio ambiente manual, aunque la aplicacin de las funciones de control puede ser

diferente en el medio ambiente es, por ejemplo, la adecuacin de backup / recuperacin en un

objetivo de control interno comn para IS y el medio ambiente manual. El objetivo especfico es el
control puede ser para respaldar adecuadamente seguridad de los archivos para permitir la
recuperacin adecuada. Esto se puede lograr mediante la aplicacin de procedimientos de control
adecuados, como la poltica de continuidad de negocio, en el departamento de SI. Por lo tanto, la
aplicacin de las funciones de control puede ser diferente en el medio ambiente es. Pero los
objetivos de control comunes en un entorno IS se mantienen sin cambios desde un entorno manual.
3. Cul de los siguientes tipos de riesgos supone una ausencia de controles de compensacin en el
rea que est siendo revisado
A. El riesgo de control
B. El riesgo de deteccin
C. El riesgo inherente.
D. El riesgo de muestreo

El riesgo que existe un error que podra ser el material o significativa cuando se combina con otros
errores encontrados durante la auditora, no existiendo controles de compensacin relacionados, es el
riesgo inherente. El riesgo de control es el riesgo de que existe un error material que no se pueden
prevenir o detectar en forma oportuna por el sistema de controles internos. El riesgo de deteccin es
el riesgo cuando un auditor de SI utiliza un procedimiento de prueba insuficiente y llega a la
conclusin de que no existen errores materiales, cuando lo hacen. Muestreo de riesgo es el riesgo de
que se hacen suposiciones incorrectas sobre las caractersticas de una poblacin de la que se toma
una muestra.
4. Un auditor est llevando a cabo pruebas de auditora sustantivas de un nuevo mdulo de cuentas
por cobrar. El auditor tiene una agenda muy apretada y conocimientos informticos limitados. Cul
sera la tcnica de auditora MEJOR utilizar en esta situacin?
A. Los datos de prueba.
B. Simulacin paralela
C. Instalacin de prueba integrado
D. Mdulo de auditora Embebidos
Los datos de prueba utiliza un conjunto de transacciones hipotticas para verificar la lgica del

programa y el control interno en un corto tiempo y por un auditor con el fondo mnimo de TI. En una
simulacin paralela, los resultados producidos por un programa real se comparan con los resultados
de un programa escrito para el auditor de SI; esta tcnica puede llevar mucho tiempo y requiere
conocimientos de TI. Una instalacin de prueba integrado, permite que los datos de prueba para ser
evaluados continuamente cuando las transacciones se procesan en lnea; esta tcnica es mucho
tiempo y requiere conocimientos de TI. Un mdulo de auditora incrustado es un mdulo
programado que se inserta en un programa de aplicacin para poner a prueba los controles; esta
tcnica es mucho tiempo y requiere conocimientos de TI.

5. El propsito principal de pruebas de conformidad es comprobar si:

A. controles se implementan segn lo prescrito.
B. la documentacin es correcta y actual
C. Se ofrece acceso a los usuarios segn lo especificado
D. Se proporcionan los procedimientos de validacin de datos
Respuesta A:

Pruebas de cumplimiento se realizan principalmente para verificar si los controles, a eleccin por la
administracin, se implementan. Verificacin de documentos no est directamente relacionada con
las pruebas de cumplimiento. Verificar si se proporciona acceso a los usuarios es un ejemplo de las
pruebas de cumplimiento. Procedimientos de validacin de datos son parte de los controles de
aplicacin. Prueba si estos se establecen como parmetros y trabajar como se prev es la prueba de
conformidad.

6. Cul de las siguientes opciones describe mejor las primeras etapas de una auditora es?
A. La observacin de las instalaciones clave de la organizacin
B. Evaluando el entorno SI
C. La comprensin de los procesos de negocio y la revisin aplicable al entorno.
D. Revisin previa es informes de auditora
La comprensin de los procesos de negocio y el medio ambiente aplicable a la crtica es ms
representativa de lo que ocurre desde el principio, en el transcurso de una auditora. Otras opciones
se refieren a actividades que ocurre en realidad dentro de este proceso.

7. El documento utilizado por la alta direccin de las organizaciones para autorizar la funcin de auditoria
de SI es

el:

A. plan de auditora a largo plazo

B. estatuto de auditora.
C. planificacin de la auditora metodologa
D. minutos del comit directivo

El estatuto de auditora describe la autoridad general, el alcance y las responsabilidades de la funcin

de auditora para lograr los objetivos de auditora establecidos en el mismo. Este documento sirve
como un instrumento para la delegacin de autoridad para la funcin de auditora de SI.
Planificacin de la auditora a largo plazo se refiere a aquellos aspectos del plan de auditora que se
ven afectados por la estrategia de TI de la organizacin y el medio ambiente. Planificacin de la
auditora comienza slo despus de que el estatuto de auditora ha sido aprobado por el ms alto
nivel de gestin. Las metodologas de planificacin de auditora se deciden en base al anlisis tanto a
largo como a cuestiones de auditora a corto plazo. Las actas de los comits de direccin deben
abordar la aprobacin del estatuto de auditora, pero no es el conductor que los delegados autoridad.

8. Antes de informar de los resultados de una auditora a la alta direccin, un auditor de SI debe:
A. Confirmar los hallazgos con los auditados
B. Preparar un resumen ejecutivo y enviarla gestin auditada
C. Definir recomendaciones y presentar los resultados al comit de auditora
D. Obtener un acuerdo de la entidad fiscalizada en los resultados y las acciones que deban tomarse.
Al trmino de una auditora, un auditor de SI debe discutir con los auditados los objetivos de la
auditora por el trabajo realizado, la prueba y las tcnicas de evaluacin utilizados y los resultados de
esas pruebas que llevaron a conclusiones. El auditor tambin debe obtener el acuerdo / desacuerdo
del auditado en relacin con los resultados y las acciones que el auditor planea tomar.
9. Si bien el desarrollo de un programa de auditora basado en el riesgo, cul de las
siguientes sera el auditor es ms probable que se centran en?
A). Negocio procesa
B). crtico aplicaciones de TI
C). Objetivos Corporativos estrategias

D). negocio
10. Cul de las siguientes es una prueba de auditora sustantiva?
A). Verificacin de que un cheque de gestin se ha realizado regularmente
B). Observando que los identificadores de usuario y contraseas son requeridos para
firmar en el equipo
C). Revisar informes anuncio envos cortos de los bienes recibidos
D). Revisin de un balance de comprobacin de edad de las cuentas por
cobrar.

11. Cul de las siguientes tareas se realiza por la misma persona en un centro de servicio / equipo
de procesamiento de informacin bien controlada?
A) Administracin de la seguridad y la gestin
B) Operaciones para PC y el desarrollo del sistema
C) El desarrollo del sistema y la gestin del cambio
D) El desarrollo del sistema y el mantenimiento de sistemas
12. Dnde adecuada segregacin de funciones entre las operaciones y la programacin no son
alcanzables, el auditor de SI debe buscar:
A) controles de compensacin
B) controles administrativos
C) controles correctivos
D) controles de acceso
13. Cul de los siguientes se incluiran en una plan estratgico de SI?
A) Especificaciones para la compra de hardware planificado
B) Anlisis de los futuros objetivos de negocio
C) Plazos para proyectos de desarrollo
D) Objetivos presupuestarios anuales del departamento de SI
13. Cul de los siguientes se incluiran en una ES plan estratgico?
A). Especificaciones para las compras de hardware planificados
B). Anlisis de los objetivos de negocio futuras
C). Objetivo fechas para los objetivos presupuestarios proyectos de desarrollo
D). anuales para el departamento de SI

14. La responsabilidad ms importante de un oficial de seguridad de los datos en una

organizacin es:
A). recomendar y supervisar las polticas de seguridad de datos.
B). promoviendo conciencia de la seguridad dentro de la organizacin.
C). establecen los procedimientos de las polticas de seguridad de TI.
D). administrar los controles de acceso fsico y lgico.

15. Cul de las siguientes opciones describe mejor el proceso de planificacin

estratgica de un departamento de TI?

A). El departamento de TI tendr en planes de corto alcance o de largo alcance en

funcin de los planes y objetivos ms amplios de la organizacin. El plan estratgico
del departamento
B). La TI debe ser el tiempo y orientado a proyectos, pero no es tan detallada como
para atender y ayudar a determinar las prioridades para satisfacer las necesidades del
negocio.
C). La planificacin a largo plazo para el departamento de TI debe reconocer
objetivos de la organizacin, los avances tecnolgicos y los requisitos
reglamentarios.
D). La planificacin a corto plazo para el departamento de TI no tiene que ser
integrado en los planes a corto plazo de la organizacin ya los avances tecnolgicos
impulsarn el departamento de TI planes mucho ms rpido que los planes de la
organizacin.

19. Un auditor est auditando los controles relativos a la rescisin de los empleados. Cul de
los siguientes es el aspecto ms importante para ser revisado?
A. El personal de la empresa relacionadas son notificados acerca de la terminacin
B. ID de usuario y las contraseas de los empleados se han eliminado
C. Los detalles de los empleados se han eliminado de los archivos de nmina activos
propiedad de la empresa D. proporcionado al empleado se ha vuelto.
Respuesta: B
El mayor riesgo es el acceso lgico a la informacin por un empleado despedido. Esta
forma de acceso es posible si no se han eliminado el identificador de usuario y la
contrasea del empleado despedido. Si el ID de usuario no est deshabilitado o
eliminado, es posible que el empleado sin visitar fsicamente la empresa puede
acceder a la informacin. El potencial de la prdida en la cuenta de acceso a la
informacin es mucho ms alto, en comparacin con el pago del salario y la retencin
de la propiedad de la compaa.

20. Al revisar un acuerdo de nivel de servicio para un centro informtico externalizado un

auditor de SI debe determinar primero que:
A. el costo propuesto para los servicios es razonable. Mecanismos de seguridad
B. se especifican en el acuerdo.
C. los servicios en el acuerdo se basa en un anlisis de las necesidades del negocio.
D. Acceso auditora al centro de cmputo est permitida en virtud del acuerdo.
Respuesta: C
La primera consideracin en la revisin del acuerdo es asegurar que el negocio est pidiendo los
servicios ms apropiados para satisfacer sus necesidades de negocio. Debe haber evidencia de que
ellos han considerado que servicios son necesarios, tanto en el presente como en el futuro. El costo
es importante (opcin A), ya que el negocio puede estar pagando por niveles de servicios que no son

necesarios o no son apropiadas, pero no es de primera importancia. Ambos, acceso de auditora

(opcin D) y de seguridad objetivos, en lugar de los mecanismos de seguridad (opcin B), son
temas que deben ser considerados como parte de la revisin, pero no son de primera importancia.
21. El principal beneficio de la normalizacin de bases de datos es el siguiente:
A. minimizacin de la redundancia de la informacin en las tablas necesarias para satisfacer las
necesidades de los usuarios.
B. capacidad de satisfacer a ms consultas.
C. maximizacin de la integridad de la base de datos, proporcionando informacin en ms de una
tabla.
D. minimizacin del tiempo de respuesta ms rpido a travs del procesamiento de la informacin.
Respuesta: A
La normalizacin significa la eliminacin de datos redundantes. Por lo tanto, el objetivo de la
normalizacin de bases de datos relacionales es minimizar el volumen de la informacin mediante
la eliminacin de datos redundantes en tablas, de forma rpida tramitacin de las solicitudes de los
usuarios y el mantenimiento de la integridad de datos. Maximizar el volumen de la informacin est
en contra de las reglas de normalizacin. Si determinada informacin se proporciona en las tablas
de diferencia, el objetivo de la integridad de los datos puede ser violado porque una tabla puede ser
actualizada y no en otros. Las reglas de normalizacin abogan almacenar datos en una sola tabla,
por lo tanto, reducir al mnimo el tiempo de respuesta ms rpido a travs del procesamiento de la
informacin.
22. Cul de las siguientes topologas de red proporciona la redundancia mayor en el caso de
la falla de un nodo?
A. Malla
B. Estrella
C. Anillo
D. autobs
Respuesta: A
En la configuracin de malla, los dispositivos estn conectados con muchas interconexiones
redundantes entre nodos de la red, con lo que, obtenindose la mayor redundancia en el caso de que
uno de los nodos falla, en la que el trfico de red caso puede ser redirigido a otro nodo. En
configuracin de estrella, cada estacin est relacionada con el eje principal. El principal centro
establece la conexin entre las estaciones por el mensaje o la conmutacin de lnea. Por lo tanto, el
fallo de un nodo resultado en la interrupcin de la red. En la configuracin de anillo, todos los
nodos estn conectados entre s de formacin de un crculo; Por lo tanto, el fallo de un nodo resulta
en la interrupcin de la red. En configuracin de bus, todos los dispositivos estn vinculados a lo
largo de una lnea de comunicacin con dos puntos finales llamados la columna vertebral; Por lo
tanto, el fallo de un nodo resulta en la interrupcin de la red.
23. desempeo Un vendedor / del contratista contra los acuerdos de nivel de servicio debe ser

evaluado por la:

A. cliente.
B. contratista.
C. de terceros. Gestin de
D. contratista.
Respuesta: A
Slo el cliente debe evaluar el desempeo del proveedor en un acuerdo de nivel de servicio (SLA).
Esto hace que el cliente confa en el servicio prestado por el proveedor. Sin embargo, la decisin de
qu medir debe ser decidida por el cliente y el proveedor.
24. Cuando la auditora de un sistema operativo de mainframe, lo que hara que el auditor de
establecer qu caractersticas de control estn en funcionamiento?
A. Examine los parmetros utilizados cuando el sistema se gener
B. Discuta opciones de parmetros del sistema con el proveedor
C. Evaluar la documentacin de sistemas y gua de instalacin
D. Consulte a los programadores de sistemas
Respuesta: A
La nica manera de establecer que los controles estn funcionando en un sistema operativo actual es
determinar cules fueron los ajustes de los parmetros en el momento el sistema se gener o creado
(a menudo denominada la carga del programa inicial o IPL). Aunque los resultados de este ejercicio
tambin se pueden evaluar an ms por la discusin con el vendedor, la evaluacin de la
documentacin y consulta de los programadores de sistemas, estas acciones no, por s mismos,
establecer funciones de control especficas.

25.. Al llevar a cabo una auditora de seguridad de base de datos cliente / servidor, el
auditor debera darle prioridad a:
A. utilidades del sistema.
B. generadores de programas de aplicacin.
C. Documentacin de la seguridad del sistema.
D. acceso a los procedimientos almacenados.
RESPUESTA: A
Utilidades del sistema pueden permitir cambios no autorizados a efectuar a los
datos de la base de datos cliente-servidor. En una auditora de seguridad de base
de datos, los controles sobre esas utilidades seran la principal preocupacin del
auditor .Generadores de programas de aplicacin son una parte intrnseca de la
tecnologa cliente-servidor, y el auditor de evaluaran los controles sobre los
generadores de derechos de acceso a la base de datos en lugar de su
disponibilidad. Documentacin de Seguridad debe ser restringida a personal de
seguridad autorizado, pero esto no es una preocupacin principal, ni el acceso a
los procedimientos almacenados.

26. Cul de las siguientes opciones permitira que una empresa ample su intranet a
travs de Internet de sus socios de negocio?
A. red privada virtual (VPN)
B. Cliente-Servidor
C. Acceso telefnico
D. Proveedor de servicios de red
RESPUESTA: A
La tecnologa VPN permite a los socios externos para que participen de forma
segura en la extranet mediante redes pblicas como el transporte o la red privada
compartida. Debido al bajo costo, el uso de redes pblicas (Internet) como medio
de transporte es el principal mtodo. VPNs se basan en tcnicas de tnel /
encapsulacin, que permiten al protocolo de Internet (IP) realizar una variedad de
diferentes protocolos (por ejemplo, SNA, IPX, NetBEUI.) Cliente-servidor no se
ocupa de la ampliacin de la red de socios de negocios (es decir, clienteservidores se refiere a un grupo de equipos dentro de una organizacin conectada
por una red de comunicaciones, donde el cliente es la mquina de peticin y el
servidor es la mquina suministradora.) Un proveedor de servicios de red puede
proporcionar servicios a una red privada compartida por la prestacin de servicios
de Internet, pero no extendi la intranet de una organizacin.
27. Un procedimiento de auditoria para el monitoreo de hardware debera ser:
A. Informar sobre la disponibilidad del sistema.
B. Informar sobre el costo-beneficio.
C. Informar sobre el tiempo de respuesta.
D. Informe sobre la utilizacin de la base de datos.
RESPUESTA: A
Un auditor de SI, mientras que los procedimientos de vigilancia de hardware
auditora revisar los informes de disponibilidad del sistema. Informes de costobeneficio son revisados durante el estudio de factibilidad. Informes en tiempo de
respuesta se relacionan con las aplicaciones, no con el hardware. Los informes de
utilizacin de bases de datos se revisan para comprobar el uso ptimo de la base
de datos en toda la organizacin.

28. El dispositivo que conectan dos redes al ms alto nivel del marco ISO-OSI (es decir, la
capa de aplicacin) es una
A. Puerta de enlace
B. Router
C. Puente
D. Brouter
Respuesta: A
La puerta de enlace se utiliza para conectar dos redes que utilizan protocolos
diferentes en las capas inferiores a travs del cual se establece la conectividad a
saber fsica, de enlace de datos, redes y capas de transporte. Router es un
dispositivo de capa de red para el que las dos redes de conexin deben tener el
mismo protocolo de capa de red. Puente opera en la capa de enlace de
datos. Debe tener protocolos de capa de enlace de datos, tales como Token Ring,
Ethernet, en uso, tanto en las redes. Brouter es esencialmente un puente con
algunas funciones de enrutamiento.

29. Cul de las siguientes afirmaciones relativas a las redes de conmutacin de

paquetes es la correcta?
A. Paquetes para un mensaje dado que viajan por el mismo camino.
B. Las contraseas no puede ser embebido dentro del paquete.
C. Longitudes de paquetes son variables y cada paquete contiene la misma
cantidad de informacin.
D. El costo cobrado por la transmisin se basa en paquetes, de distancia o ruta
recorrida.
Respuesta: D
D es la respuesta correcta, ya que los costos de transmisin se basan en los
paquetes transmitidos, no a la distancia o la ruta recorrida. Contraseas y otros
datos se pueden colocar dentro de un paquete de la toma de la opcin B
incorrecta. Las opciones A y C no son correctas porque un mensaje completo se
divide en unidades de transmisin (paquetes), que se enrutan individualmente a
travs de la red.

30. Un auditor al revisar una red utilizada para las comunicaciones por Internet, examinar
en primer lugar la:
A. validez de contraseas cambiar ocurrencias.
B. arquitectura de la aplicacin cliente-servidor.
C. arquitectura de la red y el diseo.
D. proteccin firewall y servidor proxy.
Respuesta: C
El primer paso en la auditora de una red es entender la arquitectura y el diseo
de la red. Esto proporcionara una visin global de la red de las empresas y su
conectividad. Este ser el punto de partida para la identificacin de las diferentes
capas de informacin y la arquitectura de acceso a travs de las distintas capas,
como servidores proxy, servidores de seguridad y aplicacin de cliente /
servidor. Validez Revisin de los cambios de contrasea se realiza como parte de
las pruebas de confirmacin.
31. Cul de las siguientes MEJOR proporciona control de acceso a los datos de nmina
que se procesa en un servidor local?
A. Registro de acceso a la informacin personal
B. contrasea separada para las transacciones sensibles
C. Software restringe las reglas de acceso al personal autorizado
D. Sistema limita las horas de acceso en apertura
Respuesta: C
La seguridad del servidor y el sistema debe definirse para permitir el acceso del
personal autorizado nicamente a la informacin sobre el personal cuyos registros
que manejan en el da a da. La opcin A es un buen control en el que va a
permitir el acceso a analizar si existe la preocupacin de que no existe el acceso
no autorizado. Sin embargo, no impedir el acceso. La opcin B, restringir el
acceso a transacciones sensibles, slo restringir el acceso a parte de los
datos. No va a impedir el acceso a otros datos. La opcin D, el acceso al sistema
es restringido en horas de apertura, slo restringe cuando puede producirse el
acceso no autorizado, y no impedira dicho acceso en otros momentos.

32. Cul de las siguientes preocupaciones sobre la seguridad de un mensaje electrnico

se abordaran mediante firmas digitales?
A. lectura no autorizada
B. Robo
C. La copia no autorizada
D. La alteracin
Respuesta: D

Una firma digital incluye un total de hash cifrado del tamao del mensaje, ya que
fue transmitida por su autor. Este hash ya no sera exacta si el mensaje fue
posteriormente alterado, lo que indica que se haba producido la alteracin. Las
firmas digitales no identifican o previenen ninguna de las otras opciones. La firma
sera ni evitar ni disuadir la autorizada lectura, copia o robo.
33. El mtodo ms eficaz para limitar el dao de un ataque de un virus de software es:
A. Controles de software.
B. Polticas, normas y procedimientos.
C. Controles de acceso lgico
D. Estndares de comunicacin de datos.
Respuesta: A
Los controles de software en forma de programas de deteccin y eliminacin de virus son la manera mtodo
ms eficaz para detectar y eliminar virus. Las polticas, normas y procedimientos son importantes, porque
son basados en las personas; sin embargo, se consideran generalmente menos eficaces que los controles
de software. Las opciones C y D, no son relevantes para la deteccin de virus.

34. Cul de los siguientes determina mejor que existen protocolos de cifrado y autenticacin completos
para proteger la informacin mientras se transmite?
A. Una firma digital con RSA ha sido implementada.
B. Se est trabajando en el modo de tnel con los servicios jerarquizados de AH y ESP
C. Se utilizan certificados digitales con RSA.
D. Se est trabajando en el modo de transporte, con los servicios jerarquizados de AH y ESP

Respuesta: B

El modo de tnel proporciona cifrado y autenticacin del paquete IP completo. Para lograr esto, el AH
(encabezado de autenticacin) y ESP (que encapsula la carga til de seguridad) se anidan al paquete IP. El
modo de transporte proporciona proteccin primaria para las capas ms altas de los protocolos, esto es, la
proteccin se extiende al campo de datos (carga til) de un paquete IP. Los otros dos mecanismos
proporcionan autenticacin e integridad.

35. Cul de las siguientes resultara ms adecuado para garantizar la confidencialidad de las
transacciones iniciadas a travs de Internet?
A. Firma digital
B. Estndar de cifrado de datos (DES)
C. Red privada virtual (VPN)
D. Cifrado de clave pblica

Respuesta: D
El cifrado es la nica manera de garantizar las transacciones por Internet son confidenciales, y de las
opciones disponibles, el uso de cifrado de clave pblica es el mejor mtodo. Las firmas digitales asegurarn
que la transaccin no se cambia y no puede ser repudiado, pero no garantizan la confidencialidad.

36. El objetivo principal de un firewall es proteger a:

A. Sistemas internos de amenazas externas.
B. Sistemas externos de amenazas internas.
C. Sistemas internos de amenazas internas.
D. S mismo.
Respuesta: A
El Firewall se coloca en el punto donde la red interna se conecta con el mundo exterior e
Internet. Acta como un guardia de seguridad de la red, lo protege contra ataques maliciosos
desde fuera de la red de la organizacin. Examina paquetes que entran y que salen de la red
interna, evita el ingreso de paquetes maliciosos y niega el acceso a los recursos prohibidos en
Internet para los usuarios internos. Los paquetes cuyas direcciones IP origen y destino referirse
a los hosts dentro de la misma red no se envan fuera de la red y por lo tanto no representan
una amenaza a la seguridad.

37. Cul de los siguientes es un ejemplo de la tcnica biomtrica fisiolgica?

A. Escaneo de mano.
B. Escaneo de voz.
C. Escaneo de firma.
D. Monitoreo de teclas.
Respuesta: A
La biometra fisiolgica se basa en la medicin de los datos derivados de la medicin directa de
una parte del cuerpo humano. Las opciones B, C y D son ejemplos de la biometra de
comportamiento.

38. Un auditor acaba de completar una revisin de una organizacin que tiene una unidad
central y un entorno cliente-servidor en el que todos los datos de produccin residen. Cul de
las siguientes debilidades sera considerado el ms grave?
A. El oficial de seguridad tambin sirve como el administrador de base de datos (DBA).
B. Controles de contrasea no son administrados por el entorno cliente/servidor.
C. No existe un plan de continuidad del negocio para aplicaciones no crticas del sistema
mainframe.

D. La mayora de las LAN no respaldan discos fijos de servidor de archivos con regularidad.
Respuesta: B
La ausencia de controles de contrasea en el cliente-servidor donde residen los datos de
produccin es la debilidad ms crtica. Todas las dems conclusiones, mientras que son
debilidades de control, no tienen el mismo impacto desastroso.

39. Una organizacin propone la instalacin de un inicio de sesin nico que da acceso a todos
los sistemas. La organizacin debe tener en cuenta que:
A. Acceso Mximo autorizado sera posible si una contrasea se da a conocer.
B. Los derechos de acceso del usuario seran limitadas por los parmetros de seguridad
adicionales.
C. la carga de trabajo del administrador de seguridad aumentara.
D. Derechos de acceso del usuario se incrementaran.
Respuesta: A
Si una contrasea se da a conocer al inicio de sesin nico est habilitado, existe el riesgo de
que el acceso no autorizado a todos los sistemas sea posible. Los derechos de acceso del
usuario deben permanecer sin cambios por el inicio de sesin nico como parmetros
adicionales de seguridad no se aplican necesariamente. Uno de los beneficios previstos de
inicio de sesin nico es que la administracin de seguridad se simplificara y un aumento de la
carga de trabajo es poco probable.

40. Un sitio web de comercio electrnico B-to-C como parte de su programa de seguridad de la
informacin quiere monitorear, detectar y prevenir actividades de hacking y alertar al
administrador del sistema cuando se producen actividades sospechosas. Cul de los siguientes
componentes de la infraestructura podra ser utilizado para este propsito?
A. Los sistemas de deteccin de intrusiones
B. Los cortafuegos
C. Routers
D. cifrado asimtrico
Respuesta: A
Los sistemas de deteccin de intrusiones detectan la actividad de intrusos basado en las reglas
de intrusin. Es capaz de detectar tanto, la actividad de intrusin externa e interna y enviar un

mensaje de alarma automtica. Los cortafuegos y routers evitan las comunicaciones no

deseadas y bien definidas entre las redes internas y externas. Ellos no tienen ningn sistema
de mensajera de alarmas automticas.

41 Durante una auditora de acuerdo mutuo de recuperacin de desastres entre dos empresas,
el auditor de SI estara principalmente preocupado por:
A. La solidez del anlisis de impacto.
B. La compatibilidad entre el hardware y software.
C. Diferencias entre las polticas y procedimientos de SI.
D. Frecuencia de las pruebas del sistema.
Respuesta: B.
Para que el acuerdo mutuo sea eficaz, el hardware y software deben ser compatibles
en ambos sitios. Para garantizar esto los procesos de estar en su lugar. La opcin D, la
frecuencia de las pruebas del sistema, es una preocupacin, pero la razn para
considerar esto es que se pone a prueba la compatibilidad de hardware y software. La
opcin A es un problema cuando se examina el proceso de planificacin, no el acuerdo
de reciprocidad. La opcin C no es un problema ya que la organizacin puede tener
diferencias en las polticas y procedimientos y aun as pueden ser capaces de ejecutar
sus sistemas en caso de un desastre.
42. Un auditor de SI descubre que el plan de continuidad del negocio de una organizacin
prev un sitio de procesamiento alterno que se adapta al cincuenta por ciento de la capacidad
de procesamiento primario. En base en esto, cul de las siguientes acciones debera tomar el
auditor de SI?
A. No hacer nada, porque por lo general, menos del veinticinco por ciento de todo el
proceso es fundamental para la supervivencia de una organizacin y la capacidad
de copia de seguridad, por lo tanto, es adecuado.
B. Identificar las aplicaciones que podran ser procesados en el sitio alternativo y
desarrollar procedimientos manuales en copia de seguridad de otro proceso.
C. Asegurarse de que las aplicaciones crticas se han identificado y que el sitio
alternativo podra procesar todas las solicitudes.
D. Se recomienda que la instalacin de procesamiento de informacin organice un
sitio de procesamiento alterno con la capacidad de manejar al menos el setenta y
cinco por ciento de procesamiento normal.
Respuesta C:
Los planes de continuidad de negocios deben proporcionar medidas para la
recuperacin de los sistemas crticos, no necesariamente para todos los sistemas. Tal
vez slo el cincuenta por ciento de los sistemas de la empresa son fundamentales. Por
lo tanto, la evaluacin cuidadosa de los sistemas crticos y los requisitos de capacidad
debe ser parte de la evaluacin del plan realizada por el auditor.
43. Cul de los siguientes componentes de un plan de continuidad del negocio es
principalmente la responsabilidad del departamento de IS?
A. Desarrollar el plan de continuidad de negocio.
B. Seleccin y aprobar una estrategia de continuidad de negocio plan.
C. Declarar un desastre.
D. Restaurar los datos y sistemas de la SI despus de un desastre.
Respuesta D:
La opcin correcta es restaurar los sistemas y los datos despus de un desastre. El
Departamento de TI de una organizacin es responsable de restaurar los sistemas y
los datos despus de un desastre, en el momento ms temprano posible. La alta

direccin de la organizacin es responsable de desarrollar el plan de continuidad de

negocio para la organizacin. Tambin son responsables de seleccionar y aprobar la
estrategia para el desarrollo e implementacin de un plan de continuidad de negocio
detallado. La organizacin debe identificar a una persona en la gerencia como
responsable de declarar un desastre. Aunque est involucrada en todos los tres
componentes, pero no es responsable de ellos.

44. Cul de los siguientes temas deben ser incluidos en el plan de continuidad del
negocio?
A. El personal necesario para mantener las funciones crticas del negocio en el
corto, mediano y largo plazo
B. El potencial para que ocurra un desastre natural, como un terremoto
C. eventos desastrosos que afectan a las funciones de procesamiento de sistemas
de informacin y de los usuarios finales
D. Un riesgo anlisis que considera un mal funcionamiento de sistemas, eliminacin
accidental de archivos u otros fallos
Respuesta: A
Donde no existe un plan de continuidad de negocio unificado, el plan para el
procesamiento de sistemas de informacin debe ampliarse para incluir la
planificacin de todas las unidades que dependen de funciones de procesamiento
de sistemas de informacin. Pero, en la formulacin de un plan de continuidad de
negocio a fondo, una cuestin muy importante a considerar es el personal que se
requiere para mantener las funciones crticas del negocio con el tiempo, hasta que
la organizacin est en pleno funcionamiento de nuevo. Otra cuestin importante es
la configuracin de las instalaciones de negocios, por ejemplo, escritorios, sillas,
telfonos, etc., que sern necesarios para mantener las funciones crticas del
negocio en el corto, mediano y largo plazo. La opcin B es incorrecta, ya que tiene
que ver con lo que un buen plan de continuidad de negocio va a tener en cuenta en
caso de eventos catastrficos que ocurren. Esto podra ser considerado como un
subconjunto de un plan de continuidad de negocio, pero no tiene el mismo impacto
que el personal necesario y capacitado para llevar a cabo en caso de un desastre
natural. La opcin C es incorrecta porque, al igual que en el caso de desastres
naturales, esto podra ser considerado como un subconjunto de un plan de
continuidad de negocio, pero no tiene el mismo impacto que el personal necesario y
capacitado para llevar a cabo en el caso de un desastre que afectara funciones de
procesamiento de informacin de sistemas y usuarios finales. La opcin A sera el
tema y las opciones B y C sera la causa para implementar el plan de continuidad
del negocio. La opcin D es incorrecta porque se trata de interrupciones en el
servicio que tiene sus races en el mal funcionamiento de los sistemas; pero de
nuevo, esto sera otro aspecto tratado en el plan de continuidad de negocio, pero no
es un tema principal incluido en l.
45. En una auditora de un plan de continuidad de negocio, cul de los siguientes
hallazgos es que ms preocupan?
A. No hay un seguro para la incorporacin de los activos durante el ao. Manual
B. BCP no se actualiza de forma regular.
C. Prueba de la copia de seguridad de los datos no se ha hecho con regularidad.
D. Los registros de mantenimiento del sistema de acceso no se han mantenido.
Respuesta: C
El activo ms importante de una empresa es de datos. En un plan de continuidad
del negocio, es crtico para asegurar que los datos estn disponibles. Por lo tanto, el
anlisis regular de la copia de seguridad de los datos debe hacerse. Si la prueba no

se realiza, la organizacin no puede ser capaz de recuperar los datos cuando sea
necesario durante un desastre; por lo tanto, la empresa puede perder su activo ms
valioso y puede no ser capaz de recuperarse de la catstrofe. La prdida a causa de
la falta de seguro se limita al valor de los activos. Si el manual BCP no se actualiza,
la empresa puede encontrar el manual de BCP no plenamente pertinentes para la
recuperacin en caso de desastre. Sin embargo, la recuperacin podra ser todava
posible. No mantenimiento de registros en un sistema de acceso no tendr un
impacto directo de la pertinencia del plan de continuidad del negocio.
46. Clasificacin de los sistemas de informacin es esencial en la planificacin de la
continuidad del negocio. Cul de los siguientes tipos de sistemas no pueden ser
reemplazados por mtodos manuales? Sistema
A. sistema crtico
B. Sistema Vital
C. sistema sensible
D. No crtica
Respuesta: A
Las funciones de un sistema crtico slo pueden ser sustituidos por capacidades
idnticas. Las funciones de los sistemas vitales y sensibles se pueden realizar
manualmente. La opcin D es un distractor.

47. Un auditor debe participar en:

A. observando pruebas del plan de recuperacin de desastres.
B. el desarrollo del plan de recuperacin de desastres
C. mantener el plan de recuperacin de desastres.
D. revisar los requisitos de recuperacin de desastres de los contratos con
los proveedores.
Respuesta: A
El auditor de SI debe estar siempre presente cuando los planes de
recuperacin de desastres se ponen a prueba, para asegurar que el ensayo
cumple los objetivos necesarios para los procedimientos de restauracin y
recuperacin son eficaces y eficientes, al informar sobre los resultados
segn corresponda. Los auditores pueden estar involucrados en la
supervisin del desarrollo del plan, pero es poco probable que participar en
el proceso de desarrollo real. Del mismo modo, una auditora de
mantenimiento plan puede ser llevado a cabo, pero el auditor normalmente
no tendra ninguna responsabilidad por el mantenimiento real. Un auditor de
SI se le puede pedir a comentar diversos elementos de un contrato de
proveedor, pero, de nuevo, esto no es siempre el caso.
48. La ventana de tiempo de recuperacin de la capacidad de
procesamiento de la informacin se basa en la:
A. criticidad de los procesos afectados.
B. calidad de los datos a procesar.
C. naturaleza del desastre.
D. aplicaciones que se basan mainframe.
Respuesta: A
La criticidad de los procesos que se ven afectados por el desastre es la base
para el clculo de la ventana de tiempo de recuperacin. La calidad de los

datos a procesar y la naturaleza del desastre no son la base para determinar

la ventana de tiempo. Al ser una aplicacin de mainframe no de s mismo
proporciona una ventana de base de tiempo.

49. Durante una auditora de TI de un gran banco, un auditor observa que ningn
ejercicio formal de evaluacin de riesgos se ha llevado a cabo por las distintas
aplicaciones de negocios para llegar a su importancia relativa y requisitos de tiempo de
recuperacin. El riesgo de que el banco est expuesto a es que el:
A. plan de continuidad del negocio no puede haber sido calibrado para el riesgo relativo
que la interrupcin de cada aplicacin supone para la organizacin.
B. plan de continuidad del negocio no incluya todas las aplicaciones relevantes y, por
tanto, pueden carecer de integridad en trminos de su cobertura.
C. impacto en el negocio de un desastre puede no haber sido entendido con precisin
por la direccin.
D. plan de continuidad del negocio puede carecer de una propiedad efectiva por los
propietarios de negocios de este tipo de aplicaciones.
Respuesta: A
La primera y fundamental paso para desarrollar un plan de continuidad de
negocio es un ejercicio de evaluacin de riesgo que analiza los diversos riesgos que
una organizacin enfrenta y el impacto de la falta de disponibilidad de las
aplicaciones individuales. Seccin 4.9.1.2 de la norma BS 7799 (Norma de
Informacin de Gestin de la Seguridad) afirma que "un plan estratgico, basado
en la evaluacin de riesgos adecuada, ser desarrollado para enfoque global de la
continuidad del negocio."
50. Cul de los siguientes es necesario tener por primera vez en el desarrollo de un
plan de continuidad de negocio?
A. clasificacin basada en el riesgo de los sistemas
B. Inventario de todos los activos
C. La documentacin completa de todos los desastres
D. La disponibilidad de hardware y software
Respuesta: A
Un sistema de clasificacin basado en el riesgo bien definido para todos los activos y
procesos de la organizacin es uno de los componentes ms importantes para la

inicializacin de los esfuerzos de planificacin de continuidad del negocio. Un sistema

bien definido de clasificacin basado en el riesgo podra ayudar a identificar la
criticidad de cada uno de los procesos clave y los activos utilizados por la organizacin.
Esto ayudara a la fcil identificacin de los activos y los procesos clave para ser
asegurado y los planes que se hacen para recuperar estos procesos y activos como muy
pronto despus de un desastre. Se requiere de inventario de los activos crticos y no
todos los activos para iniciar un plan de continuidad del negocio. La documentacin
completa de todos los desastres no es un requisito previo para iniciar un plan de
continuidad de negocio, en lugar varios desastres son considerados al desarrollar el plan
y slo el que tiene un impacto en la organizacin se abordan en el plan. La
disponibilidad de hardware y software no es necesario para iniciar el desarrollo de un
plan; Sin embargo, se considera la hora de desarrollar el plan detallado de acuerdo con
la estrategia adoptada
51. Los planes de prueba de aplicaciones son desarrollados en cual es las siguientes
fases del ciclo de vida del desarrollo de sistemas (SDLC)?
A. Diseo
B. Pruebas
C. Requisito
D.Desarrollo
Respuesta: A
Desarrollar planes de prueba para los diversos niveles de la prueba es una de las
actividades clave durante la fase de diseo de desarrollo de aplicaciones. Los planes de
prueba se utilizan en las pruebas de software real.
52. Cul de las siguientes pruebas confirman que el nuevo sistema puede funcionar en
su entorno de destino?
A. Sociabilidad
B. Regresin
C. Validacin
D. Negro
Respuesta: A
La sociabilidad prueba se utiliza para confirmar que el nuevo o modificado sistema

puede operar en su entorno de destino sin impactar adversamente en el sistema

existente. Las pruebas de regresin es el proceso de volver a ejecutar una parte de un
escenario de prueba o plan de pruebas para asegurar que los cambios o correcciones no
han introducido nuevos errores. Las pruebas de validacin se utiliza para probar la
funcionalidad del sistema contra el requisito detallada para garantizar que el software
que ha sido construido es trazable a los requisitos del cliente. Pruebas de caja Negro
examina algunos aspectos del sistema durante las pruebas de integracin con poco
respeto por la estructura lgica interna del software.
53. La persona ms adecuada para presidir el comit de direccin para un proyecto de
desarrollo de sistemas con un impacto significativo en una zona de negocios sera el:
A. Analista de negocios
B. director de informacin.
C. director del proyecto.
D. gerente de nivel ejecutivo
Respuesta: D
El presidente del comit de direccin debe ser una persona de alto nivel (director de
nivel ejecutivo) con la autoridad para tomar decisiones relativas a la los requerimientos
del negocio, recursos, prioridades y los resultados del sistema. El director de
informacin (CIO) normalmente no sera la silla, aunque el CIO o su representante sera
un miembro para dar su opinin sobre las estrategias amplias de organizacin. El
director del proyecto y el analista de negocios no tienen un nivel apropiado de autoridad
dentro de la organizacin.
54. El objetivo principal de llevar a cabo una ejecucin en paralelo de un nuevo sistema
consiste en:
A. verificar que el sistema ofrece la funcionalidad empresarial requerida.
B. validar el funcionamiento del nuevo sistema en contra de su predecesor.
C. resolver cualquier error en las interfaces de programa y archivos.
D. verificar que el sistema puede procesar la carga de produccin.
Respuesta: B
El objetivo de correr paralela es verificar que el nuevo sistema produce los mismos

resultados que el sistema antiguo. La verificacin de la funcionalidad es a travs de las

pruebas de aceptacin, mientras que los errores en la resolucin de los programas se
lleva a cabo a travs de las pruebas del sistema. Verificacin de que el sistema puede
manejar la carga de produccin puede ser un resultado secundario de una carrera en
paralelo, pero no es el objetivo principal. Si fuera el propsito principal, sera una
prueba de esfuerzo, probablemente ejecute en el entorno de prueba.
55. Los procedimientos de control de cambios para evitar la corrupcin del alcance
durante un proyecto de desarrollo de la aplicacin se deben definir durante:
A. diseo.
B. viabilidad.
C. implementacin.
D. definicin de requisitos
Respuesta: A
Los procedimientos de control de cambios son por lo general comn para aplicaciones
dentro de una organizacin; Sin embargo, los procedimientos de control de cambios
especficos de la aplicacin se definirn durante la fase de diseo de SDLC y deben
basarse en los mdulos del software. Las otras opciones son incorrectas. Es demasiado
pronto para definir los procedimientos de control de cambios durante la fase de
viabilidad, y tambin sera demasiado tarde durante la fase de implementacin y
despus de la aplicacin de software.
56. Cul de los siguientes es ms probable de asegurar que un proyecto de desarrollo
de software cumpla con los objetivos del negocio?
A. Mantenimiento de registros de cambio de programa
B. Desarrollo de un plan de proyecto identificar todas las actividades de desarrollo
C. Liberacin de aplicacin cambia en momentos especficos del ao
D. Participacin de los usuarios en la especificacin del sistema y la aceptacin
Respuesta: D
Participacin de los usuarios efectiva (opcin D) es el factor ms crtico para asegurar
que la solicitud cumple con los objetivos de negocio. Las opciones A, B y C son las
herramientas de gestin de proyectos y tcnicas y no son de ellos mismos mtodos para

garantizar que los objetivos de negocio se cumplen por el sistema de aplicacin.

57. Cul de las siguientes es una medida de tamao de un sistema de informacin

basado en el nmero y la complejidad de las entradas, salidas y archivos de un sistema?
A. Punto de funcin (FP)*
B. Tcnica de programa de revisin de la evaluacin (PERT)
C. Diseo rpido de aplicaciones (RAD)
D. Mtodo del Camino Crtico (CPM)

58. Durante la auditora de la fase de requisitos de adquisicin de software, el auditor

debe:
A. Evaluar la viabilidad del calendario del proyecto.
B. Evaluar los procesos de calidad propuestos por el vendedor.
C. Asegurar que el mejor paquete de software es adquirido.
D. Revisar la integridad de las especificaciones.*

59. El propsito de los programas de depuracin es:

A. generar datos aleatorios que se puedan utilizar para probar los programas antes de su
aplicacin.
B. proteger, durante la fase de programacin, cambios vlidos que puedan ser
sobrescritos por otros cambios.
C. definir los costes de desarrollo y mantenimiento de programas que se incluyen en el
estudio de factibilidad.
D. garantizar que el programa de terminaciones anormales y defectos de
codificacin de programas son detectados y corregidos.*

60. Cul de los siguientes atributos de software se refiere al MEJOR mantenimiento de

software?
A. Recursos necesarios para realizar las modificaciones especificadas.
B. Esfuerzo necesario para utilizar la aplicacin del sistema.
C. Relacin entre el rendimiento del software y los recursos necesarios.
D. El cumplimiento de las necesidades del usuario.*

61. El gobierno de IT asegura que una organizacin adopte su estrategia IT con:

A. Objetivos de la empresa. *
B. Objetivos de IT.
C. Objetivos de la auditora.
D. Objetivos de Finanzas.

62. Una validacin que asegura los datos de entrada que corresponden a lmites
razonables predeterminados o tasas de ocurrencia, se conoce como:
A. Verificacin de razonabilidad.*
B. Comprobacin de validez.
C. Verificacin de Existencia.
D. Verificacin lmite.

63. Durante cul de los siguientes pasos en el proceso de reingeniera de negocios

debera el equipo de evaluacin comparativa trabajar junto al socio de benchmarking?
A. Observacin*
B. Planificacin
C. Anlisis

D. Adaptacin

64. Cul de los siguientes procedimientos deben aplicarse para ayudar a garantizar la
integridad de las transacciones de entrada a travs del intercambio electrnico de datos
(EDI)?
A. Conteo de segmentos integrados al conjunto de transacciones avanzadas.*
B. Un registro de la cantidad de mensajes recibidos, verificados peridicamente con el
creador transaccin.
C. Una pista de auditora electrnica para la rendicin de cuentas y el seguimiento.
D. Operaciones de reconocimiento recibidas en el registro de los mensajes EDI
enviados.

65. Una utilidad est disponible para actualizar las tablas crticas en caso de
inconsistencia de datos. Esta utilidad se puede ejecutar en el smbolo del sistema
operativo o como una de las opciones de men, en una aplicacin. El mejor control
para mitigar el riesgo de manipulacin no autorizada de datos es:
A. eliminar el software de utilidad e instalarlo cuando sea necesario.
B. proporcionar acceso a servicios pblicos en base a la necesidad de usar.
C. proporcionar acceso a la utilidad de gestin de usuarios
D. definir el acceso de manera que la utilidad slo puede ser ejecutado en la opcin de
men.

Respuesta: B
Software de utilidad en este caso es un programa de correccin de datos para corregir
cualquier inconsistencia en los datos. Sin embargo, esta utilidad se puede utilizar para
sobre-paseo actualizacin incorrecta de las tablas directamente. Por lo tanto, el acceso a
esta utilidad debe restringirse en base a la necesidad de utilizar y de un registro se debe
generar de forma automtica cada vez que se ejecuta esta utilidad. La alta direccin

debe revisar este registro peridicamente. Eliminacin de la utilidad e instalarlo cuando

sea necesario puede no ser factible en la prctica ya que no habra tiempo de retardo. El
acceso a los servicios pblicos no debe ser proporcionado a la gestin de usuarios.
Definicin de acceso para que la utilidad se pueda ejecutar en una opcin de men
puede no generar un registro.

66. Al llevar a cabo una revisin de proceso de reingeniera de negocios, un auditor

encontr que un control preventivo clave haba sido retirado. En este caso, el
auditor de SI debe:
A. informar a la gestin del hallazgo y determinar si la administracin est dispuesta a
aceptar el potencial riesgo importante de no tener que prevenir control.
B. determinar si un control detective ha reemplazado el control preventivo durante el
proceso y si es as, no informa de la eliminacin del control preventivo.
C. recomendamos que ste y todos los procedimientos de control que existan antes de
que se redise el proceso se incluirn en el nuevo proceso.
D. desarrollar un enfoque de auditora continua para controlar los efectos de la
eliminacin del control preventivo.

Respuesta: A
La opcin A es la mejor respuesta. La gestin debe ser informada inmediatamente para
determinar si estn dispuestos a aceptar el potencial riesgo importante de no tener ese
control preventivo en el lugar. La existencia de un control de detective en lugar de un
control preventivo por lo general aumenta los riesgos que puede ocurrir un problema
material. A menudo, durante un BPR muchos controles no valor agregado sern
eliminados. Esto es bueno, a menos que aumenten el negocio y los riesgos financieros.
El auditor puede desear supervisar o recomendar que la gestin de supervisar el nuevo
proceso, pero esto deba hacerse slo despus de la administracin ha sido informado y

acepta el riesgo de no tener el control preventivo en el lugar.

67. Cul de los siguientes es un objetivo de control de salida?

A. Mantenimiento de registros de lotes precisos
B. Cumplimiento del procesamiento por lotes
C. contabilidad apropiada para los rechazos y excepciones
D. Autorizacin de cambios de archivos

Respuesta: C
Excepciones y rechazos son productos de salida que deben tenerse en cuenta por los
controles de salida adecuados. Las opciones A, B y D son los objetivos de control de
entrada.
68. En un sistema que registra todas las cuentas por cobrar de una empresa, las
cuentas por cobrar se publican a diario. Cul de las siguientes sera asegurar que
los saldos de cuentas por cobrar son inalterada entre publicaciones?
A. Gama de Cheques
B. Conteos de Registro
C. secuencia de verificacin
D. Run-to-run totales de control

Respuesta: D
Run-to-run totales de control son los totales de los campos clave - en este caso, el total
de los saldos a cobrar - tomar cuando se publican las cuentas por cobrar. Si los totales se
calculan y se comparan con saldo anterior, esto sera detectar alteraciones entre
publicaciones. Ambos recuentos de registros y secuencia de verificacin slo se
detectaran registros faltantes. Ellos no se detectan situaciones en las que se alteran los
registros, pero el nmero de registros no se han modificado. Cheques Range slo se
detectan cuando los saldos son fuera de un rango de valores predeterminado y no
cambios en los saldos dentro de esos rangos.

69. Cul de los siguientes es el tema ms importante para el auditor en un proceso

de reingeniera de negocios del proyecto (BPR) sera?
A. La prdida de la gerencia media, que a menudo es el resultado de un proyecto BPR
B. Que los controles se dan generalmente baja prioridad en un proyecto de BPR
C. El considerable impacto negativo que la proteccin de la informacin podra tener en
BPR
D. El riesgo de fracaso debido a la gran magnitud de la tarea por lo general realizado en
un proyecto de BPR

Respuesta: B
Los controles deben ser dados de alta prioridad durante un proyecto de BPR, por lo
tanto, esto sera una preocupacin para el auditor de si no se consideran adecuadamente
por la direccin. El hecho de que los mandos medios se pierde, como se indica en la
opcin A, no es necesariamente un problema, siempre y cuando los controles estn en su
lugar. Las opciones C y D no tienen ninguna relevancia para un proyecto de BPR.

70. Para cumplir con criterios previamente definidos, cul de las siguientes tcnicas
de auditora continua sera mejor identificar transacciones para auditar?
A. Sistemas de Control de archivos de Revisin de Auditora y Mdulos de auditora
incorporado (BUFANDA / EAM)
B. Simulacin continua e intermitente (CIS)
C. Instalaciones de Prueba Integrada (ITF)
D. ganchos de auditora

Respuesta: B
Simulacin continua e intermitente (CIS) es un conjunto moderadamente compleja de
programas que durante un proceso de ejecucin de una transaccin, simula la ejecucin
de la instruccin de su aplicacin. A medida que se introduce cada transaccin, el
simulador decide si la transaccin cumple con ciertos criterios predeterminados y si es
as, audita la transaccin. Si no, el simulador de espera hasta que se encuentra con la
siguiente transaccin que cumple los criterios. Ganchos Auditoras que son de baja
complejidad se centran en las condiciones especficas en lugar de criterios detallados en
la identificacin de las transacciones para su revisin. ITF es incorrecto debido a que su
atencin se centra en la prueba frente a datos en tiempo real. Y el foco BUFANDA /
EAM est en los controles frente a los datos.

71. En un enfoque de auditora basado en el riesgo, un auditor de SI, adems de los

riesgos, seran influenciados por:
A. la disponibilidad de CAAT.
B. gestin de representacin
C. estructura organizativa y las responsabilidades del trabajo.
D. la existencia de controles internos y operativos

Respuesta: D
La existencia de controles internos y operativos tendr una influencia sobre la posicin
del auditor de la auditora. En un enfoque basado en el riesgo que el auditor no es slo
un partido basado en el riesgo, sino tambin en los controles internos y operativos, as
como el conocimiento de la empresa y el negocio. Este tipo de decisin de evaluacin
del riesgo puede ayudar a relacionar el anlisis de costo-beneficio del control para el
riesgo conocido, permitiendo opciones prcticas. La naturaleza de las tcnicas de
anlisis disponibles y las representaciones de la administracin, tiene poco impacto en
el enfoque de auditora basado en el riesgo. Aunque la estructura y responsabilidades
organizacionales de trabajo deben ser consideradas, no se consideran directamente a
menos de que afecten a los controles internos y operativos.

72. La medida en que se recogern datos durante una auditora de SI debe

determinar, en base a la:

A. disponibilidad de informacin crtica y necesaria.

B. La familiaridad de auditor con las circunstancias.
C. La capacidad de auditado para encontrar las pruebas pertinentes.
D. propsito y alcance de la auditora.

Respuesta: D
El grado en el que se recogern los datos durante una auditora de SI debe estar
relacionado directamente con el alcance y el objetivo de la auditora. Una auditora con
un propsito limitado y alcance resultara muy probablemente en menos de recopilacin
de datos, que una auditora con un propsito y alcance ms amplio. El alcance de una
auditora de SI no debe verse limitada por la facilidad de obtener la informacin o por la
familiaridad del auditor con el rea que est siendo auditada. Recoger toda la evidencia
requerida es un elemento necesario de una auditora IS y el alcance de la auditora no
debe estar limitado por la capacidad de la entidad auditada para encontrar las pruebas
pertinentes.

73. La principal ventaja de un enfoque de auditora continua es que:

A. no requiere un auditor de reunir pruebas sobre la fiabilidad del sistema, mientras que
el procesamiento se lleva a cabo.
B. requiere que el auditor de la revisin y seguimiento de inmediato en toda la
informacin recopilada.
C. puede mejorar la seguridad del sistema cuando se utiliza en entornos de tiempo
compartido que procesan un gran nmero de transacciones

D. no depende de la complejidad de los sistemas informticos de una organizacin.

Respuesta: C
El uso de tcnicas de auditora continua, en la actualidad puede mejorar la seguridad del
sistema cuando se utiliza en entornos de tiempo compartido que procesan un gran
nmero de transacciones, pero dejan un rastro de papel escaso. La opcin A es
incorrecta, ya que el enfoque de auditora continua a menudo requiere un auditor de
reunir pruebas sobre la fiabilidad del sistema, mientras que el procesamiento se lleva a
cabo. La opcin B es incorrecta, ya que un auditor normalmente revisara y seguimiento
solamente en deficiencias materiales o errores detectados. La opcin D es incorrecta ya
que el uso de tcnicas de auditora continua no depende de la complejidad de los
sistemas informticos de una organizacin.
74. Cul de los siguientes controles de entrada de datos proporciona la MAYOR
seguridad que los datos se introduzcan correctamente?
A. Usando la verificacin llave
B. La segregacin de la funcin de entrada de datos de entrada de datos de verificacin.
C. El mantenimiento de un registro / registro que detalla la hora, fecha, iniciales del
empleado / id de usuario y progreso de varios preparacin de datos y tareas de
verificacin.
D. Adicin de dgitos de control.
Respuesta: A
Verificacin de clave o uno-a-uno la verificacin producir el mayor grado de confianza
de que los datos introducidos son libres de errores. Sin embargo, esto podra ser poco
prctico para grandes cantidades de datos. La segregacin de la funcin de entrada de
datos de verificacin de la entrada de datos es un control de entrada de datos adicional,
pero no se refiere a la precisin. El mantenimiento de un registro / registro que detalla la
hora, fecha, iniciales del empleado / ID de usuario y el progreso de diversas tareas de
preparacin de datos y verificacin, proporciona una pista de auditora. Un dgito de
control se aade a los datos para asegurar que los datos originales no han sido
alterados. Si un dgito de control se teclea mal, esto llevara a aceptar los datos
incorrectos, sino que slo se aplican a los elementos de datos que tienen un dgito de
control.

Software de monitoreo
75. La capacidad se utiliza para asegurar:
A. el mximo uso de la capacidad disponible.
B. que las futuras adquisiciones responden a las necesidades de los usuarios.
C. el uso simultneo por un gran nmero de usuarios.
D. continuidad de las operaciones eficientes
Respuesta: D
Software de monitoreo de capacidad muestra el uso real de los sistemas en lnea frente a
su capacidad mxima. El objetivo es permitir que el personal de soporte de software
para asegurar que la operacin eficiente, en la forma de los tiempos de respuesta, se
mantiene en el caso de que utilice comienza a acercarse a la capacidad mxima
disponible. Sistemas Nunca se debe permitir operar a su mxima capacidad. Software de
monitoreo tiene por objeto impedir esto. Aunque los informes de software pueden ser
utilizados para apoyar un caso de negocio para las adquisiciones futuras, no sera
proporcionar informacin sobre el efecto de las necesidades de los usuarios y no
asegurara el uso concurrente del sistema por los usuarios, que no sea para destacar los
niveles de acceso de los usuarios.

76. Cul de las siguientes exposiciones asociadas a la cola de impresin de los

informes sensibles para la impresin en lnea sera un auditor de considerar como el ms
serio?
A. Los datos sensibles pueden ser ledos por los operadores.
B. Los datos pueden ser modificados sin autorizacin.
C. Copias no autorizadas de informes se pueden imprimir
D. La salida puede ser perdido en caso de fallo del sistema.
Respuesta: C
A no ser controlada, la cola de impresin para la impresin en lnea puede permitir
copias a imprimir. Los archivos de impresin es poco probable que est disponible para
la lectura en lnea por los operadores. Los datos sobre los archivos de cola no son ms
fciles de modificar sin la autoridad que cualquier otro archivo. Generalmente hay una

menor amenaza de acceso no autorizado a los informes confidenciales en caso de un

fallo del sistema.

77. Cul de los siguientes tipos de servidores de seguridad sera mejor proteger una red
de un ataque de Internet?
A. Proyectado subred firewall
B. Aplicacin gateway de filtrado.
C. El filtrado de paquetes del router.
D. Puerta de entrada a nivel de Circuito.
Respuesta: A
Un firewall subred filtrada proporcionara la mejor proteccin. El router de deteccin
puede ser un router comercial o un nodo con capacidades de enrutamiento y la
capacidad de permitir o evitar el trfico entre redes o nodos basados en direcciones,
puertos, protocolos, interfaces, etc. pasarelas de nivel de aplicacin son mediadores
entre dos entidades que quieren comunicarse, tambin conocido como puertas de acceso
de proxy.El nivel de aplicacin (apoderado) trabaja a nivel de aplicacin, no slo a nivel
de paquete. La proyeccin controla a nivel de paquete, direcciones, puertos, etc, pero no
ve el contenido del paquete. Un router el filtrado de paquetes examina el encabezado de
cada paquete o los datos que viajan entre Internet y la red corporativa.

78. La aplicacin de una fecha de retencin sobre un archivo se asegurar de que:

A. los datos no se pueden leer hasta la fecha se establece.
B. datos no se borrar antes de esa fecha
C. copias de seguridad no se conservan despus de esa fecha.
D. se diferencian los conjuntos de datos que tienen el mismo nombre.
Respuesta: B
La fecha de retencin se asegurar de que un archivo no puede ser sobrescrita antes ha
pasado esa fecha. La fecha de la retencin no afectar la capacidad de leer el archivo. Se
esperara que las copias de seguridad para tener una fecha de retencin diferente y, por
tanto, bien pueden ser retenidos despus de que el archivo ha sido sobrescrito. La fecha
de creacin, no la fecha de retencin, se diferenciar archivos con el mismo nombre.

79. Una firma digital contiene un resumen de mensaje a:

A. mostrar si el mensaje ha sido alterado despus de la transmisin
B. definir el algoritmo de cifrado.
C. confirmar la identidad del emisor.
D. habilitar la transmisin de mensaje en un formato digital.
Respuesta: A
El resumen del mensaje se calcula y se incluye en una firma digital para probar que el
mensaje no ha sido alterado. Debe ser el mismo valor que un nuevo clculo realizado
sobre recibo. No define el algoritmo o habilitar la transmisin en formato digital y no
tiene ningn efecto sobre la identidad del usuario, estando all para asegurar la
integridad en lugar de identidad.

80. Cul de los siguientes sera el mejor mtodo para asegurar que los campos crticos
en un registro maestro se han actualizado correctamente?
A. Campo revisado.
B. Control total.
C. Razonabilidad revisado.
D. Un informe de antes y despus del mantenimiento
Respuesta: D
Un antes y despus del informe de mantenimiento es la mejor respuesta porque una
revisin visual proporcionara la verificacin ms positiva que la actualizacin fue
correcta.

81.-Un entorno TCP / basada en IP est expuesta a Internet.

Cul de los siguientes mejor asegura que existen protocolos de cifrado y
autenticacin completos para proteger la informacin mientras se transmite?
A. El trabajo se ha completado en el modo de tnel con seguridad IP utilizando los
servicios jerarquizados de encabezado de autenticacin (AH) y la carga til de

seguridad de encapsulacin (ESP).

B. Una firma digital con RSA ha sido implementado.
C. Se utilizan certificados digitales con RSA.
D. El trabajo se est terminando en los servicios TCP.

RSPTA: A
El modo de tnel con seguridad IP proporciona cifrado y autenticacin del paquete
IP completo. Para lograr esto, el AH (encabezado de autenticacin) y ESP (que
encapsula la carga til de seguridad) los servicios se pueden anidar. Las opciones
B y C proporcionan autenticacin e integridad. Servicios TCP no proporcionan
cifrado y autenticacin.

82.-Para evitar que los sistemas informticos de una organizacin se convierta en

parte de un ataque distribuido de denegacin de servicio, los paquetes IP que
contienen direcciones que se indican como enrutar puede aislarse por:
A. establecer el filtrado de trfico saliente.
B. permitiendo el bloqueo de difusin.
C. limitando los servicios permitidos.
D. supervisin del rendimiento de la red.
RSPTA: A
Routers programadas con el filtrado de trfico saliente, caen paquetes de salida
que contengan direcciones de otro que de la organizacin del usuario, incluidas las
direcciones de origen que no se pueden enrutar. Bloqueo de transmisin se puede
hacer por los routers de filtrado o firewalls. Cuando se programa, IP paquetes que
llegan desde Internet y el uso de una direccin que transmite a cada ordenador de
la red de la organizacin de destino puede ser disminuido.
Los cortafuegos y routers de filtrado pueden ser programados para limitar
servicios no permitidos por la poltica y puede ayudar a prevenir el uso de los

sistemas de la empresa.
Sin embargo, esto no va a aislar los paquetes que no se pueden enrutar.
Supervisin del rendimiento de la red es una manera de controlar el rendimiento
del sistema de intrusiones potenciales sobre una base a tiempo real y podra
ayudar a identificar a los volmenes de trfico inusuales.

83.-Un auditor haciendo pruebas de penetracin durante una auditora de las

conexiones a Internet sera:
A. evaluar configuraciones.
B. examinar la configuracin de seguridad.
C. asegurar el software de deteccin de virus est en uso.
D. utilizar las herramientas y tcnicas que estn disponibles a un usuario

RSPTA: D
Las pruebas de penetracin es una tcnica utilizada para imitar un hacker
experimentado atacar un sitio en vivo mediante el uso de herramientas y tcnicas
disponibles para un hacker. Las otras opciones son procedimientos que un auditor
considerara empresa durante una auditora de las conexiones a Internet, pero no
son aspectos de las tcnicas de pruebas de penetracin.

84.-Un auditor de realizar una revisin de control de acceso a las

telecomunicaciones deben ocupa principalmente de la:
A. mantenimiento de registros de acceso de uso de varios recursos del sistema.
B. autorizacin y autenticacin del usuario antes de conceder el acceso a los
recursos del sistema.
C. la proteccin adecuada de los datos almacenados en los servidores mediante
cifrado u otros medios.

D. sistema de rendicin de cuentas y la capacidad de identificar las terminales para

acceder a los recursos del sistema.

85.-Una organizacin est considerando la conexin de un sistema basado en PC

crtico para la Internet.
Cul de las siguientes sera proporcionar la mejor proteccin contra la piratera?
A. Una puerta de enlace de nivel de aplicacin
B. Un servidor de acceso remoto
C. Un servidor proxy
D. escaneo de puertos

RSPTA: A
Una puerta de enlace de nivel de aplicacin es la mejor manera de protegerse
contra la piratera, ya que puede definir con detalle las reglas que describen el tipo
de usuario o la conexin que est o no est permitido. Se analiza en detalle cada
paquete, no slo en capas uno al cuatro del modelo OSI, sino tambin capas de
cinco a siete, lo que significa que revisa los comandos de cada protocolo de nivel
superior (HTTP, FTP, SNMP, etc.) Para un control remoto servidor de acceso hay
un dispositivo (servidor) que pide nombre de usuario y contraseas antes de entrar
en la red. Esto es bueno cuando se accede a las redes privadas, pero se puede
asignar o escaneado de la exposicin de seguridad la creacin de Internet. Los
servidores proxy pueden proporcionar una proteccin basada en la direccin IP y
puertos.
Sin embargo, se necesita una persona que realmente sabe cmo hacer esto, y
segundo las aplicaciones pueden utilizar puertos diferentes para las diferentes
secciones de su programa. Escaneo de puertos funciona cuando hay una tarea muy
especfica para hacerlo, pero no cuando se trata de controlar lo que viene a travs
de Internet (o cuando todos los puertos disponibles necesidad de controlar de

alguna manera). Por ejemplo, el puerto de "Ping" (peticin de eco) podra ser
bloqueado y las direcciones IP estara disponible para la aplicacin y la avegacin,
pero no quiso responder a "Ping".

86.- Si una base de datos se restaura utilizando de imagen anterior vertederos,

donde se debe reiniciar el proceso despus de una interrupcin?
A. Antes de la ltima transaccin
B. Despus de la ltima transaccin
C. La primera transaccin despus de la ltima punto de control
D. La ltima transaccin antes del ltimo puesto de control

RSPTA: A
Si antes se utilizan imgenes, la ltima transaccin en el vertedero no han
actualizado la base de datos antes de que el vertedero est tomando. La ltima
transaccin no han actualizado la base de datos y debe ser reprocesado. Los
puestos de control del programa son irrelevantes en esta situacin.

87.-Cul de las siguientes es una prctica que debe ser incorporado en el plan
para probar los procedimientos de recuperacin de desastres?
A. Invitar a la participacin del cliente.
B. Involucrar a todo el personal tcnico.
C. Gire gerentes de recuperacin.
D. Instale copia de seguridad almacenado localmente.

RSPTA: C
Gestores de recuperacin deben ser rotados para garantizar la experiencia del plan
de recuperacin se extiende.

Los clientes pueden estar implicados pero no necesariamente en todos los casos. No
todo el personal tcnico debe estar involucrado en cada prueba. Copia de
seguridad remota o fuera de las instalaciones se debe utilizar siempre.

88.-Una gran cadena de tiendas con EFT en dispositivos de punto de venta tiene un
procesador central de comunicaciones para conectar a la red bancaria. Cul de
los siguientes es el plan de recuperacin de desastres MEJOR para el procesador
de comunicaciones?
A. Almacenamiento fuera del sitio de las copias de seguridad todos los das
B. Procesador en el sitio en espera Alternativa.
C. La instalacin de enlaces de comunicacin duplex
D. Alternativa procesador de reserva en otro nodo de red

RSPTA: D

Tener un procesador de reserva alternativa en otro nodo de red sera la mejor. La

falta de disponibilidad del procesador de comunicaciones centrales interrumpira
todo el acceso a la red bancaria que resulta en la interrupcin de las operaciones de
todas las tiendas. Esto podra deberse a la falta de equipo, el poder o las
comunicaciones. Almacenamiento fuera del sitio de las copias de seguridad no
ayudara ya EFT tiende a ser un proceso en lnea y fuera de las instalaciones de
almacenamiento no reemplazarn el procesador disfuncional. La provisin de un
sitio procesador alternativo estara bien si se tratara de un problema del equipo,
pero no sera de ayuda si el apagn fue causado por el poder, por ejemplo. La
instalacin de enlaces de comunicacin dplex sera ms adecuado si fuera slo el
enlace de comunicacin que ha fallado.
89. Cul de las siguientes es una caracterstica de la tecnologa orientada a objetos que
permite un mayor grado de seguridad sobre los datos?
A. La herencia.

B. Almacenamiento dinmico.
C. Encapsulacin. *
D. El polimorfismo

90. En la aplicacin de un paquete de software de aplicacin, Cul de las siguientes

presenta el riesgo MAYOR?

A. Versiones de software mltiples incontrolados.

B. Programas de cdigo que no estn sincronizados con el cdigo objeto.
C. Parmetros incorrectamente establecidos. *
D. Los errores de programacin.

91. Cul de los siguientes controles seran ms eficaces para garantizar que el cdigo
fuente de la produccin y el cdigo objeto se sincronizan?

A. Suelte para liberar informes de origen y la comparacin de objetos.

B. Software de control de biblioteca para restringir los cambios en el cdigo fuente.
C. Restringir el acceso al cdigo fuente y el cdigo objeto.
D. Fecha y hora de sello de los comentarios de la fuente y cdigo objeto. *

92. Durante una revisin posterior a la implementacin de un sistema de gestin de

recursos empresariales, un auditor de SI de realizara:

A.- Revise la configuracin de control de acceso. *

B.- Evale las pruebas de Interfaz.

C.- Revise la documentacin detallada del diseo.

D.- Evale las pruebas del sistema.

93. Cul de los siguientes tipos de control est diseado para proporcionar la capacidad
de verificar los datos y valores de registro a travs de las etapas de procesamiento de la
aplicacin?

A.- Control por rangos.

B.- Gestin y ejecucin total. *
C.- Controles de lmite en cantidades calculadas.
D.- informes de excepcin.

94. El mejor mtodo para probar la exactitud de un clculo de un sistema de impuestos

es a travs de:

A. Revisin visual detallada y anlisis del cdigo fuente de los programas de clculo.
B. Recreando la lgica del programa utilizando el software de auditora
generalizado para calcular los totales mensuales. *
C. Preparando las transacciones simuladas para procesar y comparar los resultados
con los resultados predeterminados.
D. Diagramas de flujo automtico y el anlisis del cdigo fuente de los programas de
clculo.

95. Gestin IS recientemente ha informado al auditor IS de su decisin de desactivar

ciertos controles de integridad referencial en el sistema de nmina para proporcionar a
los usuarios un generador de informes ms rpido. Lo ms probable es aumentar el
riesgo de:

A. La entrada de datos de usuarios no autorizados.

B. Un empleado no existente siendo pagado. *
C. Un empleado recibiendo un aumento no autorizado.
D. Duplicar la entrada de datos por los usuarios autorizados.

96. Cul de los siguientes pares de funciones no deberan combinarse para

proporcionar adecuada separacin de funciones?

A. Bibliotecario de cinta y operador de computadora.

B. Programacin de aplicaciones y entrada de datos. *
C. Analista de sistemas y administrador de base de datos.
D. Administrador de seguridad y garanta de calidad.

97. Un IS auditor quien est revisando los manuales de ejecucin de

aplicaciones esperara que contengan:

A. Detalles de documentos de origen

B. Cdigos de error y sus acciones de recuperacin
C. Diagramas de flujo de la lgica del programa y archivos definidos
D. Cambios en los registros para el cdigo fuente de la aplicacin.

98. Cul de las siguientes funciones de SI puede ser realizada por el mismo individuo,
sin comprometer el control o violar la separacin de funciones?
A. Analista de Control de Trabajo y Programador de Aplicaciones.
B. Operador Principal y Programador de Sistemas.
C. Administrador de control de la calidad y el(los) Cambio/Problemas.
D. Programador de Sistemas y Aplicaciones.

99. Cul de las siguientes es la funcin ms importante a realizar por la administracin

de TI en un entorno externalizado?
A. Asegurar que las facturas se pagan al proveedor
B. Participar en el diseo de sistemas con el proveedor
C. La renegociacin de las tarifas del proveedor
D. Supervisin del rendimiento del proveedor de outsourcing
100. Una organizacin ha delegado la red de trabajo y el soporte de escritorio. Aunque
la relacin ha sido un xito, sigue habiendo un problema de conectividad riesgoso.
Cul de los siguientes controles debe realizarse primero para asegurar la organizacin
mitiga razonablemente estos posibles riesgos?
A. Programa de defensa de Red
B. Encriptacin / autenticacin
C. notificacin adecuada entre las organizaciones
D. Definicin adecuada en relacin contractual