Auditoria de sistema parcial 2

5.3 Determine si la siguiente afirmación es VERDADERA o FALSA. “El secreto 165/1994, al igual que la Ley 11.723, protege las obras de base de datos y software. Dispone que tanto los programas de ordenador como las “obras de base de datos” sean incluidas dentro del artículo 1 de la Ley 11.723 como obras protegidas”. Verdadero. Falso.

5.1 Al decir…”Es un derecho que poseen las personas a efectuar un amparo para conocer los datos referidos a ellos, almacenados en bancos de datos públicos o privados” Seleccione a que se hace referencia. Habeas data. Privilegio de información. Privacidad digital. Acceso a datos personales. Protección de datos sensibles.

5.1 ¿Con qué perspectivas han iniciado las nuevas tecnologías en el derecho?. Como herramientas que brindan ayuda al operador jurídico y como un objeto más de la auditoría. Como sustituto de la interpretación humana en el sistema legal. Como un obstáculo para la transparencia legal. Como solución única para problemas legales complejos. Como barrera para la justicia accesible.

5.1 ¿Qué servicio puede mejorar y modernizar el derecho informativo como instrumento orientado a la optimización?. Informática Jurídica. Jurisprudencia tecnológica. Sistema Legal Digital. Gestión de procesos legales. Plataforma de análisis legal.

5.1 Seleccione a qué término corresponde el siguiente concepto: “Se encarga de regular a la comunidad informática y evita que quede sin control alguno.”. Derecho informativo. Regulación cibernética. Ética digital. Legislación informática. Normativa tecnológica.

5.2 ¿A qué concepto hacemos alusión cuando se habla de poner en circulación una o más copias de un programa conociendo o pudiendo presumir su naturaleza ilegítima?. A la infracción de los derechos respecto a los programas de software. Violación de propiedad intelectual. Delito de copia ilícita. Transgresión de licencias digitales. Uso no autorizado de software.

5.2 ¿Qué instituciones jurídicas se pueden utilizar para la protección jurídica de los programas?. Estipulaciones contractuales, secreto comercial, derecho de patentes y derecho de marcas y derecho de autor. Normativas de conservación de datos y programas. Salvaguardia legal de la propiedad digital. Resguardo legal de la propiedad intelectual. Legislación sobre derechos de innovación.

5.2 Realizamos entre 3 personas un desarrollo de software ¿Quién es el autor?. Todos. El líder del proyecto. El programador principal. El patrocinador del proyecto. El equipo de desarrollo conjunto.

5.3 ¿Cómo se conoce el principio de finalidad de la Ley Orgánica?. Antes de la creación de un archivo de datos de carácter personal ha de conocerse el fin del mismo. Propósito declarado de la información. Objetivo previsto de la legislación. Propósito esencial de la normativa. Fin determinado de la recopilación de datos.

5.3 Supongamos que nos encontramos en el área de auditoría, y desde los niveles superiores jerárquicos nos preguntan sobre el marco normativo de la protección de datos de carácter personal. ¿Cuál sería la ley más abarcativa en este contexto?. Ley 27.483. Ley 27.890. Ley 27.435. Ley 27.245. Ley 27.489.

5.4 En el código penal argentino hay al menos 45 tipos penales que pueden configurarse de forma directa a través de dispositivos informáticos. El delito contra el orden público ¿puede efectuarse a través de dispositivos informáticos?. Sí, es uno de los delitos más frecuentes en nuestro país. No, este delito es exclusivamente presencial. Sí, pero rara vez se comete de esta manera. No, el código penal no contempla esta modalidad. Sí, aunque no es común en el ámbito digital.

5.4 Indique a qué se hace referencia con el siguiente concepto: "Es una persona o un grupo de ellas que tienen la inteligencia y la capacidad para entrar a cualquier sistema computacional sin estar autorizados". Hacker. Intruso informático. Saboteador digital. Pirata cibernético. Experto en violación de sistemas.

5.4 La lucha contra los delitos informáticos cada vez es más fuerte por parte de diversas empresas, pero ¿debido a qué cuestiones muchos delitos apenas han podido ser correctamente tipificados en la legislación vigente? Seleccione las 3 (tres) opciones correctas. La falta de adaptación de los organismos legislativos a los rápidos cambios y las nuevas situaciones provocadas por la aparición de las nuevas tecnologías. La dificultad para la obtención de pruebas fehacientes y para la identificación de los responsables, debido a las técnicas de ocultación de las direcciones IP o la utilización de equipos "zombi". La inadecuada preparación y la falta de medios suficientes (técnicos, organizativos y humanos) en los cuerpos y fuerzas de seguridad para luchar y prevenir los delitos informáticos. La ausencia de cooperación internacional entre entidades legales dificulta la identificación y persecución de delitos informáticos a nivel global, generando impunidad debido a diferencias legales y protocolos de actuación. La diversidad y complejidad de tecnologías actuales, junto con la falta de estándares de seguridad uniformes, crean un ambiente propicio para los delitos cibernéticos, incrementando la vulnerabilidad y dificultando la protección efectiva contra ataques digitales.

5.4 Seleccione a quién hace referencia el siguiente concepto: “Aquellas conductas ilícitas susceptibles de ser sancionadas por el derecho penal”. Delito Informático. Crimen digital. Infracción cibernética. Conducta penal. Violación jurídica.

5.5 Considerando los requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras comunicados por el B.C.R.A., indique a qué término corresponde el siguiente concepto: “La información crítica o sensible debe ser protegida a fin de evitar su uso no autorizado”. Confidencialidad. Secreto bancario. Protección de información sensible. Resguardo de datos. Salvaguardia de datos críticos.

5.5 En caso de que una persona sea víctima de un posible delito informático, ¿qué es lo que debe hacer?. No borrar, destruir o modificar la información que hay en la computadora, equipo móvil, celular, etc. relacionada al hecho. Informar inmediatamente a la policía cibernética. Realizar un respaldo de la información afectada. Desconectar el dispositivo de la red. Buscar asesoría legal especializada.

5.5 En la última comunicación incorporada por el B.C.R.A. “A” 6017, indique a qué término se refiere el siguiente concepto: “La información y sus procesos relacionados deben ser relevantes y pertinentes para el desarrollo de la actividad. Deben presentarse de forma correcta, coherente, completa y puedan ser utilizados en forma oportuna”. Eficacia. Eficiencia operativa. Pertinencia informativa. Efectividad en la información. Óptima utilidad de datos.

5.5 Indique 4 tipos de riesgos tecnológicos: Seleccione las 4 (cuatro) respuestas correctas. Revelación o divulgación. Destrucción o eliminación. Robo. Ejecución no efectiva. Alteración de la integridad.

5.5 Seleccione a qué término alude el siguiente concepto: “Su función es la de proveer y evitar la ocurrencia de los riesgos en los sistemas de información”. Controles informáticos. Seguridad cibernética. Prevención tecnológica. Protección digital. Medidas de mitigación.

5.5 Teniendo en cuenta la norma ISO 31000, especialmente elaborada para la gestión de riesgos, seleccione 4 (cuatro) de sus principios. Facilitará la mejora continua de la organización. La gestión de riesgos debe crear y proteger el valor. Debe ser sistémica, estructurada y oportuna. Debe ser una parte integral de los procesos. Debe ser adaptada a la cultura organizacional.

5.6 Como personal de una empresa del área de IT, tenemos que seleccionar las ventajas de la EDI sobre las transacciones básicas para los procesos B2B ¿Cuáles son las principales? Seleccione las 2 (dos) opciones correctas. Automatización de procesos. Mejora la eficiencia y productividad. Reducción de errores en la entrada de datos. Agilidad en la comunicación interempresarial. Reducción de costos operativos.

5.5 Seleccione a que banco pertenece la comunicación A 4609 (y sus modificatorias) que define los requisitos mínimos de gestión y control para las entidades financieras de Argentina, sobre los riesgos de la tecnología informática y de los sistemas de información. Rta. BCRA (Banco Central de la República Argentina). Banco Nacional de Argentina. Banco Mundial de Argentina. Banco de la Nación Argentina. Banco Federal de Argentina.

5.6 Considere los 3 siguientes factores claves: “Confianza, poder, visión”. Determine para quien se corresponde. Para el desarrollo de un EDI. Para el diseño de estrategias de marketing. Para el desarrollo de un sistema de seguridad informática. Para la implementación de un sistema de gestión de recursos humanos. Para la creación de políticas financieras internas.

5.6 Determine a quien hace referencia el siguiente concepto. “elimina la intervención manual en la transmisión de documentos normalizados. Su uso es imprescindible, sobre todo si se quiere trabajar en determinados sectores, que lo exigen debido a los múltiples beneficios que ofrece a las empresas”. Intercambio electrónico de datos (EDI). Sistema de Gestión de Recursos Humanos. Software de Contabilidad Financiera. Plataforma de Comunicación Interna. Herramienta de Control de Inventarios.

5.6 Indique 4 beneficios que el EDI (Intercambio Electrónico de Datos) proporciona. Selecciona las 4 (cuatro) respuestas correctas. Mejoran las relaciones comerciales. La información que se intercambia logra mayor calidad. El trabajo es más oportuno y se desarrolla en menor tiempo. Reducción de los costos. Incremento de la complejidad operativa.

5.6 Indique a que términos hace referencia el siguiente concepto: “En una organización que tiene a cargo una ref internacional de comunicaciones financieras entre bancos y otras entidades financieras”. SWIFT. SEPA. CBU. CHIP. IBAN.

5.6 ¿Qué requisitos hay que cumplir con EDI?. El intercambio se ha de realizar por medios electrónicos, el formato tiene que estar formalizado y la conexión ha de ser de computador a computador. La transferencia debe ser en horario laboral. Es necesario el uso de plataformas en la nube. Debe contar con aprobación gubernamental. Los archivos deben ser compartidos vía fax.

5.6.1 Indique a quien compete el siguiente concepto “comprender cualquier tipo de envío de dinero a través de medios electrónicos. Incluye a cualquier tecnología de comunicación que pueda efectuar una transmisión de fondos de manera automática, inmediata y simultanea, por pedido del titular de una cuenta en una entidad financiera”. Transferencia electrónica de fondos (TEF). Pago electrónico instantáneo (PEI). Transacción bancaria virtual (TBV). Transferencia interbancaria automatizada (TIA). Sistema de pagos electrónicos seguros (SPES).

5.6.1 Necesitamos realizar una transferencia de fondos automática y debe ser ejecutada inmediatamente por el titular de la cuenta bancaria por medio de un sistema electrónico ¿Cómo se conoce dicha acción?. Transferencia electrónica de fondos (TEF). Transferencia bancaria tradicional (TBT). Depósito electrónico de fondos (DEF). Pago a través de débito automático (PDA). Transferencia de fondos electrónicos (EFT).

5.6.2 Desde el aspecto tecnológico ¿Cuáles de los siguientes enunciados son casos de comunicación? Seleccione las 4 (cuatro) opciones correctas. Comunicación entre dos computadores personales. Comunicación entre varios computadores personales a través de un centro de compensación. Comunicación entre dos sistemas de información. Comunicación entre varios sistemas informativos mediante un centro de compensación. Comunicación entre una computadora personal y un sistema de información empresarial.

5.6.1 Indique por cual banco, en Argentina, se encuentra regulada la transferencia electrónica de fondos, dentro de sus normativas del sistema nacional de pagos-transferencia, junto con las diversas regulaciones. Banco Central (BCRA). Banco de la Nación Argentina. Banco Provincia de Buenos Aires. Banco Ciudad. Banco Santander Río.

5.6.2 Seleccione a quien alude el siguiente concepto. “se realiza mediante la utilización de algún elemento electrónico, con influencia decisiva, real y directa sobre la información de la voluntad, el desenvolvimiento o la interpretación de un acuerdo”. Contratación electrónica. Firma digital avanzada. Convenio electrónico. Negociación virtual. Protocolo de transacciones electrónicas.

5.6.3 Indique a que método, utilizado para la autenticación de los documentos electrónicos, se hace referencia en el siguiente concepto: “consiste en el arte o la ciencia de escribir un texto de tal forma, que sea entendido solamente por quienes conocen los medios de descifrado”. Criptografia. Codificación. Encriptación. Cifrado digital. Estenografía.

5.6.3 Indique a que termino se refiere la siguiente característica. “Aporta estándares necesarios para que este sea sencillo, rápido y eficaz. Su propósito principal es eliminar el ingreso duplicado de datos y mejora la velocidad y precisión de flujo de información entre compañías, en forma computarizada”. Intercambio electrónico de datos (EDI). Automatización de procesos. Sincronización de datos. Protocolo de intercambio. Sistema de transferencia digital.

5.6.3 Seleccione 3 (tres) métodos para la autenticación de los documentos electrónicos, que habitualmente se utilizan. Reconocimiento de características físicas. El código de ingreso. Criptografía. Huella dactilar. Reconocimiento facial.

5.6.3 Seleccione a que termino corresponde el siguiente concepto: “aquel documento proveniente de un sistema de elaboración electrónica (tanto el formado por el elaborador como el documento formado por medio del elaborador)”. Documento electrónico. Firma digital. Archivo informático. Expediente digital. Registro electrónico.

5.7.1 Indique que termino abarca los siguientes aspectos: Quienes tienen acceso a la información; adecuación de aquellos al cargo que ostentan; conocimiento de la normativa; reconocimiento en el contrato de la labor que cumplen y la responsabilidad que ostentan; y, que los contratos con los proveedores aseguren la confidencialidad del archivo y de la información. Auditoría de las personas. Administración de recursos. Gestión de accesos. Control de calidad laboral. Supervisión de infraestructura.

5.7.1 ¿Qué implica que el conocimiento de la normativa deba mantener una actitud ética delante del archivo?. Implica que si un trabajador de la empresa, vulnerando sus obligaciones, rompe este deber de secreto, rompe también la buena fe contractual, siendo ello motivo de despido disciplinario. Se refiere a la responsabilidad moral del empleado. Implica la evaluación continua del marco normativo. Se relaciona con la confidencialidad de la información. Supone una revisión constante de las políticas empresariales.

5.7.2 ¿Qué es la auditoria de la información?. Cualquier auditoria que abarque la revisión y evaluación de todos los aspectos de los sistemas automáticos de procesamiento de información, incluyendo los procedimientos no automáticos relacionados. Evaluación exclusiva de sistemas manuales de procesamiento de datos. Revisión únicamente de sistemas de almacenamiento en la nube. Auditoría centrada únicamente en sistemas de gestión de documentos. Exclusivamente la evaluación de procedimientos de seguridad informática.

5.7.2 Seleccione con que termino se relacionan las siguientes características: Se debe cumplir con los derechos generales y los específicos en lo particular. Calidad de datos, adecuación y pertinencia. La información no podrá usarse para finalidades incompatibles, debe ser exacta y estar al día. Debe ser almacenada, Verificando que haya recogido por medios fraudulentos, desleales o ilícitos. Auditoria de la información. Regulación de datos. Revisión de procesos. Inspección de sistemas. Evaluación de sistemas.

5.7.3 Indique a que se hace referencia con las siguientes características de acuerdo a Ley Orgánica de Protección de datos (LOPD): “queda definida mediante las directivas de acceso a los objetos” La definición se establece mediante SACL (Derecho de acceso) para cada objeto correspondiente. Dicho control quedara igualmente determinada para los objetos del directorio activo. Auditoria de los ficheros. Protección de datos sensibles. Gestión de seguridad informática. Control de integridad de archivos. Monitoreo de cumplimiento normativo.

5.7.3 ¿Qué define la Ley Orgánica 5/92 de 29 de octubre?. Limitar el uso de la información y otras técnicas y medios de tratamiento automatizado para garantizar el honor y la intimidad personal. Normativas de almacenamiento de datos. Regulaciones de acceso a información pública. Legislación sobre protección de secretos comerciales. Directrices para la protección de datos empresariales.

6.1 Determine a que termino hace referencia el siguiente concepto: “Se encarga de comprobar la existencia de los medios físicos, así como su funcionalidad, racionalidad y seguridad. Debe garantizar la integridad de los activos humanos, lógicos y materiales de un Centro de Proceso de Datos (CPD)”. Auditoria Física. Auditoría de sistemas. Evaluación de riesgos. Control de calidad operativa. Supervisión de infraestructura.

6.1 En relación con la auditoria ofimática, podemos mencionar la técnica de la observación ¿Cuál de las siguientes opciones refiere a dicha técnica?. A través de ella se podrá verificar y comprobar aspectos como: cumplimiento de las políticas y normas en el proceso de adquisición, contratación y fiabilidad del inventario ofimático, todo el software instalado en la institución. Identificación de errores de impresión. Verificación de la organización de mobiliario. Evaluación del rendimiento de equipos. Control de procedimientos de mantenimiento.

6.1.2 Indique 4 fuentes que deben estar accesibles en todo centro de proceso de datos. Seleccione las 4 respuestas correctas. Inventario de soportes (papel, magnéticas). Políticas, normas y planes sobre seguridad. Políticas del personal. Actas e informes de técnicos y consultores. Normativas de uso de dispositivos móviles.

7.1 Determine si el siguiente enunciado es afirmación es verdadero o falso: “las metodologías para auditar base de datos, generalmente, se agrupan en dos tipos: metodologías tradicionales y metodologías de evaluación de riesgos”. Verdadero. Falso.

6.1.2 Seleccione a que termino alude el siguiente concepto: “es una estrategia planificada constituida por un conjunto de recursos de respaldo, una organización de emergencia y procedimientos de actuación, encaminada a conseguir una restauración progresiva y ágil de los servicios de negocio afectados por una paralización total o parcial de la capacidad operativa de la empresa”. Plan de contingencias. Estrategia de recuperación de desastres. Protocolo de contingencia. Plan de continuidad operativa. Proceso de recuperación progresiva.

6.1.3 Seleccione la opción correcta. ¿Cuáles son las tres primeras fases de la auditoria física?. 1)Alcance de la Auditoria;2) Adquisición de Información General, 3) Administración y planificación. Recopilación de datos. Análisis de resultados preliminares. Implementación de mejoras. Revisión de estándares de calidad.

6.1.3 Seleccione la opción correcta. ¿Qué técnicas se proponen para la auditoria física?. Observación de las instalaciones, sistemas, cumplimiento de normas y procedimientos. Análisis de riesgos. Evaluación de software. Seguimiento de gastos. Control de calidad de hardware.

6.1.3 Seleccione la técnica de auditoría física que se refiere a lo siguiente: “percepción de las instalaciones, sistema, cumplimiento de normas y procedimientos, etc. No solo con espectador sino también con actor”. Observación de las instalaciones. Inspección de seguridad. Evaluación técnica. Revisión visual. Control de procesos.

6.2 La auditoría de una aplicación informática, como toda auditoria, debe ser objeto de: Una planificación cuidadosa. Implementación inmediata. Seguimiento constante. Análisis espontáneo. Evaluación superficial.

6.2 Supongamos que necesitamos realizar una revisión del sistema informatizado que genera, procesa, almacena, recupera, comunica y presenta datos relacionados con el funcionamiento de la oficina. ¿Qué tipo de auditoria realizaríamos?. Auditoria ofimática. Auditoría de software. Auditoría de sistemas. Auditoría de seguridad informática. Auditoría de bases de datos.

6.2.1 Seleccione las 4 (cuatro) opciones correctas ¿Cuáles de las siguientes opciones refieren a ejemplos de los aspectos de la seguridad física?. Ubicación del CPD dentro del edificio. Seguridad de los medios. Potencia eléctrica. Medidas de protección. Configuración de red.

7.1 La auditoria, en los motores de base de datos, incluye la capacidad de demostrar: Quien accede a los datos; cuando se accedió a los datos; desde que tipo de dispositivo o aplicación, desde que ubicación en la red, que sentencias SQL se ejecutaron. Los datos almacenados. Las operaciones de respaldo. Los permisos de usuario. Los procedimientos de seguridad.

7.1 Indique a que termino hacer referencia el siguiente concepto: “consiste en la revisión de todo el entorno de las base de datos, utilizando una lista de comprobación o check list. Estas listas deben comprender todos los aspectos a tener en cuenta y, generalmente, se utilizan al auditar los productos de base de datos.”. Metodología tradicional para auditar base de datos. Evaluación de integridad. Auditoría de sistemas. Técnicas de seguridad. Procedimientos de almacenamiento.

7.1 Seleccione a que termino se refiere el siguiente párrafo “Se identifican los riesgos relacionados con la base de datos. Una vez identificados estos riesgos, es posible crear objetivos, técnicas y pruebas para su control. Las técnicas pueden ser de carácter preventivo, detectivo o correctivo”. Metodología de evaluación de riesgos para auditar base de datos. Análisis de vulnerabilidades. Técnicas de control de acceso. Evaluación de integridad de datos. Procedimientos de almacenamiento.

7.1 Seleccione las 4 (cuatro) opciones correctas. Para los diagramas y contenido de la base de datos, ¿Cuáles son los pasos más importantes?. Niveles de seguridad de cada anterior clasificación de datos. Esquema de clasificación de datos en cuanto a su seguridad. Datos y diccionario de datos corporativo. Modelo de arquitectura de información y su actualización, que es necesaria para mantener el modelo consistente con las necesidades de los usuarios y con el plan estratégico de tecnologías de la información. Establecimiento de claves primarias.

7.5 Indique si esta afirmación es verdadera o falsa: “La auditoria de las aplicaciones se centra en las etapas, donde los sistemas de información se encuentran implementados en la organización y en el funcionamiento productivo. En este punto, ya se han superado las etapas de definición, análisis, diseño, desarrollo, implementación y testeo, tanto del hardware como de los sistemas operativos, base de datos y aplicaciones informáticas”. Verdadero. Falso.

7.5.2 Seleccione las 4 (cuatro) opciones correctas. Como protocolos de alto nivel ¿Cuáles son los mas importantes?. OSI. SNA. TCP/IP. Netbios. IPX.

7.1 Teniendo presente los tipos de pruebas de auditoría a aplicar sobre las bases de datos, indique a cuál alude el siguiente concepto: “es el examen de la evidencia disponible de que una o más técnicas de control interno están en operación o actuando durante el periodo auditado”. Prueba de cumplimiento. Prueba de integridad. Prueba de rendimiento. Prueba de autenticación. Prueba de confidencialidad.

7.2 Indique a que termino se refiere el siguiente criterio: “abarca desde el estudio previo hasta su explotación; se basan en los propuestos por la ISACA a principios de esta década, MENKUS (1990) y en los recientemente publicados COBIT, ISACF (1996), que minimizan los riesgos potenciales a los que está sometido el entorno de base de datos.”. Objetivos de control en el ciclo de vida de una base de datos. Modelo de desarrollo de software. Estrategias de mantenimiento. Procedimientos de respaldo. Directrices de administración de datos.

7.3 A continuación seleccione 4 (cuatro) procedimientos y políticas que deberían establecerse en todos los entornos de base de datos para el control interno y auditoría. Organización de la base de datos y diccionario de datos. Determinación y mantenimiento de la propiedad de la base de datos. Procesos de administración para proteger los recursos de datos. Procedimientos de conciliación entre registros reales y de datos. Lineamientos de respaldo.

7.3 Supongamos que se deben establecer unas funciones de administración de datos y de base de datos fuertes, para que se pueda controlar la distribución de los datos. ¿De qué aspecto del entorno de una base de datos hablamos?. Protocolos y sistemas distribuidos. Estrategias de respaldo. Directrices de seguridad. Procedimientos de acceso. Políticas de cifrado.

7.4 Considere la siguiente conceptualización sobre una de las técnicas para el control de base de datos en un entorno complejo “Sirven para identificar los conjuntos de datos del SI junto con los controles de seguridad o integridad implementados sobre los mismos” Determine a cuál se hace referencia. Matrices de control. Registros de auditoría. Protocolos de cifrado. Herramientas de monitoreo. Directrices de respaldo.

7.4 Indique a que termino se refiere el siguiente concepto “técnica con que se documenta el flujo, almacenamiento y procesamiento de los datos en todas las fases que pasan desde el mismo momento en que se introducen, identificando los componentes del sistema que atraviesan (tanto hardware) y los controles asociados”. Análisis de los caminos de acceso. Matrices de control. Estrategias de cifrado. Herramientas de monitoreo. Procedimientos de respaldo.

7.5 Teniendo presente los tipos de controles en una auditoria de aplicaciones, indique a que control corresponde el siguiente concepto: “estos son controles incorporados en los programas de aplicación para asegurar que la información se registre y mantenga de forma completa y exacta”. Controles automáticos. Controles manuales. Controles de acceso. Controles de seguridad. Controles de integridad.

7.5.1 Seleccione la opción correcta. En el terreno de una aplicación informática, el control interno se materializa fundamentalmente en controles de dos tipos: Controles manuales y automáticos. Controles lógicos y físicos. Controles de accesos y de integridad. Controles preventivos y correctivos. Controles técnicos y administrativos.

7.5.2 Seleccione a que herramienta de las más comunes utilizadas en la auditoria de aplicaciones, corresponde el siguiente concepto: “sirven para determinar el alcance y los objetivos que tendrá la auditoria y para conocer los niveles de satisfacción de los usuarios de las aplicaciones.”. Encuestas. Revisión de códigos. Pruebas de rendimiento. Análisis de seguridad. Auditoría de procesos.

7.5.3 Teniendo presente las etapas de la auditoria de aplicaciones, indique a cual se refiere el siguiente concepto: “es lograr un conocimiento básico de las aplicaciones que posee la organización y del entorno informático donde están instaladas. Esto se puede obtener a través de un estudio previo donde se puedan determinar los puntos débiles y funciones con posibles riesgos”. Recolección de información y documentación de las aplicaciones. Evaluación del rendimiento de las aplicaciones. Implementación de pruebas de seguridad. Análisis del impacto empresarial. Desarrollo de estrategias de contingencia.

8.1 ¿En qué consiste la auditoria en seguridad informática?. Es un estudio profesional que realizan expertos ajenos a la empresa con el objetivo de detectar las vulnerabilidades de la implementación de tecnología en la estrategia de negocio. Revisión de la infraestructura de red. Análisis de la eficacia de los sistemas de copias de seguridad. Evaluación de la gestión de recursos humanos. Evaluación del cumplimiento legal en la gestión de proyectos.

8.1 Esta auditoría, además de comprender la seguridad informática, también abarcar la información en otros soportes y los ambientes donde se desarrollan las operaciones de la organización. Se enfoca en verificar que los modelos de seguridad están en consonancia con las nuevas arquitecturas, plataformas y medios de comunicación y transmisión de datos”. Indique a que auditoria se hace referencia. Auditoria de la seguridad de los SI. Auditoría de infraestructura física. Auditoría de gestión de recursos humanos. Auditoría de cumplimiento legal. Auditoría de sistemas de copias de seguridad.

8.1 Toda auditoria de seguridad informática debe detenerse a analizar la ……… de los sistemas y programas informativos. Eficiencia. Fiabilidad. Disponibilidad. Escalabilidad. Estabilidad.

8.1.1 Determine a quien se hace referencia en el siguiente párrafo: “por un lado, se deben analizar las protecciones físicas para la información, los programas, las instalaciones, el equipamiento, las redes. Por otro lado, se deben considerar las medidas de protección para el personal, como son las medidas de evacuación, las alarmas y las salidas de emergencia”. Auditoria de la seguridad física. Auditoria de la seguridad ambiental. Auditoria de la seguridad lógica. Auditoria de la seguridad digital. Auditoria de la seguridad interna.

8.1.1 Supongamos que necesitamos llevar a cabo una observación sobre la estructura, diseño, construcción y distribución de los edificios y sus plantas ¿Qué tipo de protección estaríamos realizando dentro de la auditoria de seguridad?. Fisica. Ambiental. Lógica. Digital. Interna.

8.1.3 Considere lo siguiente: “se debe validar que todos los proyectos hayan obtenido todas las aprobaciones requeridas por procedimientos internos de la organización. Además, se deben verificar los permisos que los desarrolladores tienen sobre lo programas, los datos y los entornos de trabajo, y también se debe controlar la implementación de nuevos programas o librerías a producción”. Indique a que auditoria alude. Auditoria de seguridad de desarrollo de aplicaciones. Auditoria de seguridad lógica. Auditoria de seguridad física. Auditoria de seguridad en la red. Auditoria de seguridad interna.

8.1.4 Dentro del contexto de auditoría de seguridad del área de producción de datos, indique 2 (dos) controles existentes en diferentes puntos del ciclo de vida de los datos. Proveniencia de los datos. Salidas de los procesos. Gestión de datos operativos. Acceso a registros históricos. Revisiones de registros de auditoría.

8.1.5 Auditoria verifica que las políticas de seguridad para las redes de datos y comunicaciones reconozcan que toda información transmitida es propiedad de la entidad y no debe utilizarse para fines no autorizados. Tambien, se revisan los sistemas de protección contra posibles accesos externos a las redes. Indique a quien se hace referencia. Auditoria de la seguridad en comunicaciones y redes. La auditoría de redes no se preocupa por la seguridad de la información transmitida. En la auditoría de seguridad en comunicaciones y redes, no se revisan los sistemas de protección contra accesos externos. La auditoría de seguridad en comunicaciones no incluye políticas relacionadas con la propiedad de la información. La auditoría de redes no se relaciona con la seguridad de la entidad en la transmisión de información.

8.1.5 Dentro de la auditoria de la seguridad en comunicación y redes, seleccione 4 (cuatro) puntos complementarios a revisar. Transferencia de archivos y controles existentes. Información y programas transmitidos y uso de cifrado. Tipos de terminales y protecciones: físicas, lógicas, llamada de retorno. Protección de conversaciones de voz en caso necesario. No se requiere evaluar la transferencia de archivos ni los controles existentes en una auditoría de seguridad en comunicaciones y redes.

8.2 ¿Cuál de las siguientes opciones es correcta en relación a la auditoria de redes?. En un internet plagado de ataques externos, la seguridad de la red debe ser una prioridad para su compañía. En un entorno de redes seguro, los ataques externos no representan una amenaza. La seguridad de la red no es relevante en un entorno empresarial. Los ataques externos no afectan la seguridad de una red. La seguridad de la red no necesita ser una prioridad en un entorno digital.

8.2 La auditoria forense es un servicio que se contrata tras haberse producido un incidente de seguridad. Verdadero. Falso.

8.2 Seleccione el término correspondiente a técnicas y métodos en una auditoria de seguridad. Cuestionarios, la observación, el muestreo, las pruebas. Herramientas y procedimientos, la verificación, la inspección, los análisis. Protocolos y sistemas, el chequeo, el monitoreo, las verificaciones. Procedimientos y herramientas, la exploración, el examen, las validaciones. Métodos y enfoques, la revisión, la evaluación, las validaciones.

8.2 Una……………… es una evaluación estructurada de como las actividades en el lugar de trabajo pueden afectar la salud y la seguridad de quienes forman parte de la organización. Auditoría de seguridad. Revisión sistemática. Evaluación organizada. Investigación metódica. Inspección detallada.

9.1 Considere el siguiente concepto. “es una descripción abstracta para el diseño de comunicaciones por capas y para un protocolo de redes de computadoras. En su forma más básica, divide a la arquitectura de la red en siete capas”. Seleccione a que termino alude. Modelo OSI. Modelo de estratificación. Estructura en niveles. Esquema de subdivisión. Organización estratificada.

9.1 Indique, dentro del modelo OSI, a que capa corresponde el siguiente concepto: “Segmenta los datos originados en el host emisor y los re ensambla en una corriente de datos dentro del sistema del host receptor”. Capa de transporte. Capa de enlace. Estrato de conexión. Nivel de reensamblaje. Estrato de fragmentación.

9.2 Indique las 3 incidencias que pueden producirse básicamente en las redes de comunicaciones, por causas propias de la tecnología: Seleccione las 3 (tres) respuestas correctas. Ausencia de tramas. Alteración de secuencia. Alteración de bits. Ralentización de la señal. Interrupción de paquetes.

9.4 Ante el auge que está tomando el protocolo TCP/IP, como una primera clasificación de redes, seleccione para que redes se está adoptando las nomenclaturas basados en este protocolo: Intranet, Extranet, Internet. Redes privadas, públicas y comerciales. LAN, WAN, MAN. Redes de área local, redes inalámbricas, redes de área extensa. Redes de área metropolitana.

9.4 Supongamos que hablamos de la identificación del grupo de protocolos de red que hacen posible la transferencia de datos en redes, entre que equipos informáticos e internet ¿De qué hablamos?. TCP/IP. HTTP. LAN. DNS. DHCP.

9.6 Teniendo presente la auditoria de redes, a cual corresponde el siguiente concepto: “es necesario: vigilar la red, revisar los errores o situaciones anómalas que se producen, y tener establecidos los procedimientos para detectar y aislar equipos en situación anómala. Utilizar cifrado para evitar que la información que viaja por la red pueda ser espiada”. Auditoria de redes lógicas. Auditoria de redes físicas. Auditoria de sistemas operativos. Auditoria de base de datos. Auditoria de hardware.