CISA 2

¿A cuál de los siguientes puntos se referiría un auditor SI PRIMERO a la hora de realizar una auditoría de SI?. Procedimientos implementados. Políticas aprobadas. Estándares internos. Prácticas documentadas.

La desnormalización de la base de datos relacionales daría como resultado PRINCIPALMENTE. Problemas de integridad referencial. Mayor optimización de bases de datos. Mayor redundancia de datos. Pérdida de índices de tablas.

Durante la revisión del proceso de mantenimiento preventivo de la empresa para los sistemas en un centro de datos, el auditor SI ha determinado que todos los sistemas críticos informáticos, eléctricos y de refrigeración están recibiendo un mantenimiento correcto. Además, lo MÁS importante para el auditor SI es asegurarse de que la organización: Ha verificado los antecedentes de todo el personal de servicio. Acompañaalpersonaldeservicioentodomomentocuandorealizasutrabajo. Realizaelmantenimientodurantelostiemposdeprocesamientonocrítico. Verifica independientemente que se está realizando el mantenimiento.

¿Cuál de las siguientes técnicas de respaldo es la MÁS apropiada cuando una organización requiere puntos de restauración de datos sumamente granulares, como se definen en el objetivo de punto de recuperación?. Bibliotecas de cintas virtuales. Fotografías instantáneas basadas en discos. Respaldo continuo de datos. Respaldo de disco a cinta.

Durante una auditoría, ¿cuál de las siguientes situaciones sería la MÁS preocupante para una organización que externaliza considerablemente el procesamiento de SI a una red privada?. El contrato no contiene una cláusula de derecho de auditoría para el tercero. Un experto en seguridad de la información no ha revisado el contrato antes de firmarlo. Las pautas de externalización de SI no están aprobadas por la junta directiva. Ausencia de procedimientos bien definidos de evaluación del desempeño de SI.

¿Quién debe ser responsable de garantizar que los derechos de acceso a las aplicaciones web corporativas sean revocados cuando se produce la eliminación del usuario?. Los administradores de seguridad. Los propietarios de los datos. Los custodios de datos. Los administradores de la web.

¿Cuál de los siguientes el es factor crítico para el éxito MÁS importante en la implementación de un enfoque basado en el riesgo, aplicado al ciclo de vida del sistema de TI?. Participación adecuada de las partes interesadas. Selección de un marco de gestión de riesgos. Identificación de las estrategias de mitigación del riesgo. Entendimiento del entorno regulatorio.

¿Cuál de las siguientes opciones conlleva el MENOR riesgo en la gestión de fallas, en la transición de las aplicaciones antiguas a las nuevas?. Cambio en etapas. Cambio abrupto. Procedimiento de retrocesión al estado previo (rollback). Cambio en paralelo.

Renunció un empleado que tiene acceso a información altamente confidencial. En el momento de irse, ¿cuál de los siguientes pasos debería darse PRIMERO?. Conducir una entrevista final con el empleado. Garantizar que se implementen planes de reemplazo. Revocar el acceso del empleado a todos los sistemas. Revisar los antecedentes laborales del empleado.

¿Cuál de los siguientes métodos de muestreo es el MÁS apropiado para evaluar los controles de autorización de facturación automática para garantizar que no se hagan excepciones para usuarios específicos?. Muestreo de variables. Muestreo basado en juicio. Muestreo aleatorio estratificado. Muestreo sistemático.

¿Cuál de los siguientes controles sería el MÁS efectivo a la hora de reducir el impacto de los ataques existosos de ransomware?. Actualización del software antivirus. Educación de la fuerza de trabajo. Sistema de prevención de intrusiones. Respaldo periódico.

Un auditor SI está revisando un acuerdo con terceros para un nuevo proveedor de servicio de contabilidad basado en la nube. ¿Cuál de las siguientes consideraciones es la MÁS importante en lo que respecta a la privacidad de los datos contables?. Retención, respaldo y recuperación de datos. Devolución o destrucción de la información. Detección de intrusiones y redes. Un proceso de gestión de parches.

Cuál de lo siguiente es el método MÁS apropiado cuando se identifica la posibilidad de que se haya utilizado una computadora para filtrar un archivo confidencial?. Aislar la computadora de la red. Duplicar la imagen de la fuente del dispositivo original. Instalar herramientas de análisis forense en el sistema objetivo. Reportar el incidente a las autoridades policiales.

Una organización ha comprado un nuevo sistema para integrar sus sistemas existentes de recursos humanos (RR.HH.) y de nómina con el entorno. ¿Cuál de las siguientes pruebas garantiza que el nuevo sistema pueda operar con éxito con los sistemas existentes?. Pruebas paralelas. Pruebas piloto. Pruebas de sociabilidad. Pruebas de integración.

Una vez identificados los hallazgos, el auditor SI PRIMERO debería: Llegar a un acuerdo sobre los hallazgos. Determinar las medidas de mitigación de los hallazgos. Informar a la alta gerencia sobre los hallazgos. Obtener fechas límites para la corrección con el fin de cerrar los hallazgos.

En una organización pequeña, el mismo empleado realiza la función de gerente de entregas y programador de aplicaciones. ¿Cuál es la MEJOR recomendación de control compensatorio en esta situación?. Contratar personal adicional para proveer la separación de funciones. Evitar que el gerente de entregas haga modificaciones a los programas. Registro de cambios a las bibliotecas de desarrollo. Verificar que solo los cambios de programa aprobados sean implementados.

Después de la investigación inicial, un auditor SI tiene razones para creer que puede existir un fraude. El auditor SI debe: Ampliar las actividades para determinar si se justifica una investigación. Reportar el asunto al comité de auditoría. Informar a la gerencia la posibilidad de fraude. Consultar con los asesores legales externos para determinar el curso de acción que debe tomarse.

El beneficio PRIMARIO de la implementación de un programa de seguridad como parte de un marco general de gobierno de la seguridad es: La alineación de las actividades de TI con recomendaciones de auditoría de SI. El cumplimiento de la gestión de riesgos de seguridad. La implementación de las recomendaciones del director general de seguridad de la información. La reducción del costo de la seguridad de TI.

Una función de auditoría interna está revisando un script de interfaz común de pasarela o gateway desarrollado internamente para una aplicación web. El auditor SI descubre que el script no fue revisado y probado por la función de control de calidad. ¿Cuál de los siguientes tipos de riesgos es de MAYOR preocupación?. No disponibilidad del sistema. Exposición a software malintencionado(malware). Acceso no autorizado. Integridad del sistema.

¿Cuál de los siguientes es el PRIMER paso en el desarrollo de un plan de respuesta a incidentes?. Identificar todos los sistemas de TI y controles pertinentes para los objetivos de la auditoría. Enumerar todos los controles del programa de auditoría para seleccionar los que coincidan con los objetivos de la auditoría. Revisar los resultados de una autoevaluación de riesgo. Entender el negocio, su modelo operativo y los procesos clave.

¿Cuál de los siguientes controles protegería MEJOR a una organización de ataques de phishing?. Sistema de protección de pérdida de datos. Sistema de detección de intrusiones. Controles de acceso con base en funciones. Capacitación sobre concientización del empleado.

¿Cuál de las siguientes opciones sería la MAYOR preocupación si los objetivos de auditoría no se establecen durante la fase inicial del programa de auditoría?. Se identifica incorrectamente a las partes interesadas clave. Los costos de control excederán el presupuesto planificado. Es posible que se pasen por alto riesgos importantes de negocio. Es posible que se incluyan áreas auditadas con anterioridad por equivocación.

Un desarrollador de sistemas se transfiere al departamento de auditorías para trabajar como un auditor de TI. Cuando este empleado revisa los sistemas de producción, ¿cuál de las siguientes cuestiones se convierte en la MÁS significativa?. El trabajo debe desarrollarse como una auto-auditoría. El foco de los puntos de auditoría puede cambiar en gran medida a los aspectos técnicos. El empleado puede no tener las capacidades de evaluación de control necesarias. El conocimiento del empleado sobre el riesgo de negocio puede ser limitado.

Como parte de la planificación de auditoría, el auditor SI diseña varias pruebas de validación de datos para detectar errores de transcripción y de transposición con eficacia. ¿Cuál de las siguientes opciones contribuirá MÁS a detectar esos errores?. Verificación del rango. Verificación de validez. Verificación de duplicados. Dígito de control.

¿Cuál de las siguientes opciones sería la MÁS útil para un auditor SI para acceder y analizar datos digitales con el fin de recopilar evidencia de auditoría pertinente de diversos entornos de software?. Lenguaje de consultas estructurado. Informes de software de aplicación. Controles de análisis de datos. Técnicas de auditoría asistida por computadora.

Se le solicita a un auditor de SI que analice proyectos anteriores para determinar cómo los futuros proyectos pueden satisfacer mejor los requerimientos de negocio. ¿Con cuál de las siguientes personas es MÁS probable que consulten los auditores?. Patrocinadores del proyecto. Gerentes del proyecto. Grupos de usuarios finales. Analistas de negocios.

¿En cuál de los siguientes puntos tendría el MAYOR impacto el establecimiento de los niveles mínimos de software?. Integridad del software. Gestión de cambios. Controles de acceso. Documentación del sistema.

Un auditor SI interno observa las pruebas de recuperación de una organización ante un desastre. Se determina que la capacidad de recuperación de la organización no cumple con el objetivo de tiempo de recuperación (RTO) aprobado por la gestión. ¿Cuál de las siguientes sería la MEJOR recomendación que puede incluir el auditor SI en el informe?. Cambiar el RTO. Sistemas de copia de seguridad en espejo. Una nueva prueba del proceso de copia de seguridad. Un método de recuperación alternativo.

¿Cuál es la MEJOR forma de garantizar la confidencialidad de transmisiones en una aplicación web orientada al público?. Seguridad de capa de transporte (TLS). Secure Sockets Layer. Secure Shell. Seguridad IP.

Cuando se desarrolla un plan de recuperación de desastres, el criterio para determinar el tiempo sin servicio aceptable debe ser: Expectativa de pérdida anual. Objetivo de entrega del servicio. La cantidad de datos huérfanos. Interrupción máxima tolerable.

¿Cuál de las siguientes opciones garantiza MEJOR que los requerimientos de negocio se cumplen antes de la implementación?. Estudio de factibilidad. Pruebas de aceptación del usuario. Revisión posterior a la implementación. Plan de implementación.

Un auditor SI está revisando un sitio una Web de comercio electrónico. ¿Cuál de las siguientes opciones es MÁS importante a la hora de garantizar que se implementen los controles para proteger al consumidor?. Programa de gestión de vulnerabilidades sólido. Plan probado de continuidad del negocio. Certificado digital actualizado. Claves de encriptación almacenadas en custodia.

¿A cuál de lo siguientes puntos están vinculadas las vulnerabilidades que presentan el MAYOR riesgo para una organización que hospeda una aplicación web?. Sistema de nombres de dominio. Script CGI. JavaScript. Cookies.

¿Cuál de las siguientes opciones es MÁS probable que se considere un conflicto de intereses para un auditor SI que revisa una implementación de ciberseguridad?. Implementar capacitación en concienciación de ciberseguridad. Diseñar los controles de ciberseguridad. Aconsejar sobre el marco de ciberseguridad. Realizar evaluaciones de vulnerabilidad.

¿Cuál de los siguientes es el elemento MÁS importante para la toma de decisiones a lo largo de la vida de un proyecto de TI?. Análisis de impacto en el negocio. Plan de inversiones de TI. Estrategia de gestión de recursos de TI. Caso de negocio.

Los errores en procedimientos de auditoría afectan PRINCIPALMENTE a cuál de los siguientes riesgos?. Riesgo de detección. Riesgo inherente. Riesgo de control. Riesgo de negocio.

Un auditado no está de acuerdo con uno de los hallazgos de una auditoría. ¿Cuál de las siguientes es la MEJOR acción que debe seguir el auditor de TI?. Conversar sobre el hallazgo con el gerente del auditor de TI. Volver a probar el control para validar el hallazgo. Elevar el riesgo relacionado con el control. Conversar sobre el hallazgo con el gerente del auditado.

El auditor SI se entera de que una aplicación empresarial ha ampliado el acceso de los usuarios de un departamento a otros departamentos. La MAYOR preocupación para el auditor SI sería la aprobación de: Análisis de impacto al negocio. Creación de formularios para nuevos usuarios. Política de seguridad de TI actualizada. Matriz actualizada de derechos de acceso.

¿Cuál de las siguientes opciones se esperaría que apruebe el estatuto de la función de auditoría?. Gerente de finanzas. Director general ejecutivo. Comité de dirección de auditorías. Comité de auditoría.

¿Cuál de las siguientes opciones es la que debe garantizarse con MAYOR importancia antes de comunicar los hallazgos de la auditoría a la alta gerencia durante la reunión de cierre?. La declaración de riesgo incluye una explicación del impacto sobre el negocio. Los hallazgos están vinculados con evidencia de manera clara. Las recomendaciones para abordar las causas fundamentales de los hallazgos. Las partes responsables han proporcionado los planes de corrección.

Cuando realiza un análisis de riesgos, el auditor SI PRIMERO debería: Revisar el programa de clasificación de los datos. Identificar los activos de información de la organización. Identificar el riesgo inherente del sistema. Realizar un análisis de costo-beneficio para los controles.

Al desarrollar una arquitectura de seguridad, ¿cuál de los pasos siguientes debería ejecutarse PRIMERO?. Desarrollar procedimientos de seguridad. Definirunapolíticadeseguridad. Especificarunametodologíadecontroldeacceso. Definirrolesyresponsabilidades.

Los contadores están desarrollando una solución temporal de informes con una hoja de cálculo y un programa macro. ¿Cuál de las siguientes acciones será la preocupación MÁS importante desde el punto de vista del control?. La solución temporal se convierte en una solución permanente. Las modificaciones no siguen el proceso estándar de gestión de cambios. Se requiere un proceso de reconciliación más estricto para garantizar la integridad. El desarrollo se realiza utilizando una metodología de desarrollo ágil.

¿Cuál de las siguientes debería ser de MAYOR preocupación para un auditor SI a la hora de inspeccionar la sala de computadoras de una organización?. Los extintores de mano están presentes en la sala de computadoras. No se requieren datos biométricos para acceder a la sala de computadoras. La sala de computadoras está en el sótano. La sala de computadoras está en una habitación lindante a un área de oficina.

¿Cuál de las acciones siguientes debería recomendar un auditor SI para aplicar MEJOR la alineación de un portafolio de proyectos de TI con prioridades organizacionales estratégicas?. Definir un cuadro de mando (balanced scorecard) para medir el rendimiento. Considerar la satisfacción del usuario en los indicadores clave de rendimiento. Seleccionar proyectos de acuerdo con los beneficios y el riesgo para el negocio. Modificar el proceso anual de definición del portafolio de proyectos.

Un auditor SI está revisando el plan de continuidad de negocio de una organización. ¿Cuál de las siguientes opciones proporcionaría los MEJORES medios para evaluar los sistemas que respaldan los procesos críticos de la organización?. Análisis de impacto en el negocio. Objetivo de punto de recuperación. Objetivo de tiempo de recuperación. Estrategia de negocio.

Una empresa pretende obtener servicios de hospedaje en la nube de un proveedor con un alto nivel de madurez. ¿Cuál de las siguientes opciones sería la MÁS importante para que el auditor garantice la alineación continua con los requisitos de seguridad de la empresa?. El proveedor proporciona el informe de auditoría más reciente de terceros para su verificación. El proveedor proporciona el informe de auditoría interna más reciente para su verificación. El proveedor acuerda implementar los controles en línea con la empresa. El proveedor acuerda proporcionar informes externos de auditoría anuales en el contrato.

¿Cuál de los siguientes aspectos sería el de MAYOR preocupación para un auditor SI cuando analiza la seguridad de la línea de base de una computadora personal en una oficina corporativa?. No está determinada caducidad de la contraseña del usuario local. No se aplica el hash de contraseña del usuario local. No se instalan en forma automática los parches del sistema. No se descargan los parches desde el proveedor.

Una empresa selecciona un proveedor para desarrollar e implementar un nuevo sistema de software. Para garantizar que la inversión de la empresa en el software esté protegida, ¿cuál de las siguientes cláusulas de seguridad es la MÁS importante para incluir en el contrato maestro de servicios?. Limitaciones de la responsabilidad. Requisitos de nivel de servicio. Depósito de fuentes (escrow) de software. Control de versión.

¿Cuál de los siguientes es el control MÁS eficaz en la concesión de acceso temporal a los proveedores?. El acceso de proveedores corresponde al acuerdo de nivel de servicio. Las cuentas de usuario se crean con fechas de vencimiento y se basan en los servicios prestados. Se proporciona acceso de administrador durante un período limitado. Las cuentas de usuario se eliminan cuando el trabajo se completa.

¿Cuál de las siguientes contramedidas recomendaría MÁS el auditor SI para la mitigación del riesgo de vulnerabilidades de alteración lógica, descubiertas durante las pruebas de penetración de una aplicación web conectada al público?. Cambiar las reglas del cortafuegos (firewall) de la aplicación para filtrar entradas maliciosas. Configurar el cortafuegos (firewall) de red para permitir el tráfico que proviene únicamente de las direcciones IP deseadas. Realizar la revisión de código y la validación de entrada del lado del servidor. Utilizar el protocolo HTTPS para asegurar el acceso al sitio web.

¿Cuál de las siguientes opciones constituye el objetivo PRINCIPAL de realizar pruebas de auditoría basadas en riesgos?. Se abordan primero las áreas de alto impacto. Se asignan los recursos de auditoría con eficiencia. Se abordan primero las áreas materiales. Se priorizan las inquietudes de la gerencia.

¿Cuál es la MAYOR ventaja de realizar pruebas de penetración además de la evaluación de vulnerabilidades?. Mayor cobertura de las diferentes tecnologías. Mejor monitoreo del cumplimiento de las regulaciones. Mejor preparación para los incidentes de ciberseguridad. Confirmación de la capacidad de explotar las vulnerabilidades.

¿Cuál de las siguientes actividades de un plan de continuidad del negocio es PRINCIPALMENTE la responsabilidad del departamento de TI de una organización?. Declaración de desastre y activación del plan de continuidad del negocio. Restauración de los sistemas y datos después de un desastre en el negocio. Realización del análisis de impacto en el negocio para determinar los sistemas críticos. Definición de los objetivos de tiempo de recuperación y de puntos de recuperación.

Como resultado de la presión de rentabilidad, la alta gerencia de una empresa decidió mantener las inversiones en seguridad de la información en un nivel inadecuado. ¿Cuál de las siguientes sería la MEJOR recomendación de un auditor SI?. Utilizar proveedores en la nube para operaciones de bajo riesgo. Revisar los procesos de exigencia de cumplimiento. Solicitar que la alta gerencia acepte el riesgo. Posponer procedimientos de seguridad de baja prioridad.

Un auditor SI ha encontrado numerosos usuarios que envían información confidencial por correo electrónico a destinatarios no autorizados. El MEJOR curso de acción para prevenir esa situación es el siguiente: Brindar a los infractores formación adicional en materia de seguridad. Integrar la seguridad de datos en las revisiones de desempeño de los empleados. Desarrollar un plan de protección de datos. Implementar un sistema de phishing anticorreos salientes.

En una infraestructura de clave pública, las autoridades de certificación deben abordar PRINCIPALMENTE lo siguiente: Ataques “man-in-the-middle”. Ataques de fuerza bruta exitosos. Confidencialidad de claves secretas. Producción más rápida de certificados digitales.

¿Cuál de las siguientes opciones ayudaría MÁS a un auditor IS a determinar la idoneidad de los privilegios de usuario establecidos en un sistema de aplicación?. Organigrama del área de negocios meta. Funciones y responsabilidades asignadas a operadores. Resultados de las pruebas de una autoevaluación del cumplimiento de las normas de TI. Registro de gestión de cambios de los perfiles de usuario.

¿Cuál de los siguientes aspectos sería de PRINCIPAL interés para el auditor de IS que revisa el flujo transfronterizo de datos personales?. Consentimiento de los interesados. Firma de acuerdos con procesadores de datos. Encriptación de los datos personales. Limitaciones de acceso.

Cuando se realiza una revisión después de la implementación de un proyecto de desarrollo de software para una aplicación altamente segura, es MÁS importante confirmar que: Se realizaron las pruebas de vulnerabilidad. Se cerró formal mente el proyecto. Se cumplió el cronograma y el presupuesto del proyecto. Se cumplieron los requerimientos de negocio.

¿Por qué es MÁS probable que una organización escoja un enfoque de desarrollo de sistemas ágiles?. Para facilitar la reutilización de los módulos. Para mejorar la seguridad del sistema. Para mejorar el rendimiento del sistema. Para acelerar el despliegue a los usuarios.

¿Cuál de los siguientes sería de MAYOR interés para un auditor SI que revisa la estrategia de riesgo de la organización?. Que se mitiguen los riesgos en forma eficaz. Que el riesgo residual sea cero después de la implementación del control. Que se identifique y clasifique todo el riesgo probable. Que la organización utilice un marco de trabajo de riesgo establecido.

¿Cuál de los siguientes métodos sería la manera MÁS eficaz para garantizar que las políticas de seguridad de la información hayan sido comunicadas y comprendidas por todos los usuarios de SI?. Entrevistas personales. Firma de las políticas por parte del usuario. Programas de capacitación de los usuarios. Casos de desviaciones de la política.

¿Cuál de las siguientes ofrece la MEJOR prueba de la preparación para la recuperación de una organización luego de incidentes cibernéticos?. Procedimientos de respuesta a incidentes actualizados recientemente. Plan de recuperación ante desastres documentado. Auditorías internas regulares de respuesta a incidentes. Resultados de los ejercicios anuales de simulación.

El propósito PRINCIPAL del plan anual de auditoría de SI es: Adjudicar recursos para auditorías. Reducir el impacto del riesgo de auditoría. Desarrollar un plan de capacitación para los auditores. Minimizar los costos de auditoría.

¿Cuál de las siguientes opciones será la manera MÁS rentable de evaluar la integridad del plan de recuperación de desastres?. Organizar una prueba en papel con los miembros reales del equipo de respuesta. Programar una revisión de los procedimientos por parte de un consultor independiente. Asegurarse de que todos los posibles escenarios de desastre de ataques cibernéticos estén cubiertos en los procedimientos. Incluir al personal directivo superior en un ejercicio de recuperación ante desastres.

Un auditor SI está revisando el proceso de gestión del cambio de una organización y encuentra que se realizan cambios de emergencia fuera del horario laboral y que se obtiene la aprobación después del cambio. ¿Cuál de los siguientes es el MEJOR curso de acción para el auditor?. Incluir el hallazgo en el informe. Recomendar un equipo de aprobación que esté presente fuera del horario laboral. Recomendar que no se hagan cambios hasta que se obtenga la aprobación. Registrar la práctica en el informe.

¿Cuál de los siguientes es el elemento MÁS importante de una estrategia de seguridad de la información?. Panorama de amenazas. Incidentes previos de seguridad. Tecnologías emergentes. Apetito de riesgo en la empresa.

¿A cuál de los siguientes escenarios podría un auditor SI esperar que un equipo de aplicación recurra MÁS cuando un cambio de sistema en una aplicación de misión crítica con una baja tolerancia a fallas cause una interrupción en las operaciones?. Respaldo. Contingencia (fallback). Mitigación. Conexión de apoyo (failover).

Un auditor SI realiza una revisión posterior a la implementación de la red de una empresa. ¿Cuál de los siguientes hallazgos sería MÁS preocupante?. Los dispositivos móviles inalámbricos no están protegidos con contraseña. Las contraseñas predeterminadas no se cambian al instalar dispositivos de red. No existe ningún proxy web saliente. Los enlaces de comunicación no usan encriptación.

¿Cuál de las siguientes opciones es la MÁS importante a considerar cuando se revisan los niveles de clasificación de activos de información?. Pérdida potencial. Costos financieros. Amenazas potenciales. Costo del seguro.

¿Cuál de las siguientes opciones es la MÁS importante cuando se deben aplicar parches de sistema a los servidores de aplicaciones en el sitio de recuperación ante desastres?. Aprobación del administrador del sitio de recuperación ante desastres. Aprobación de los dueños respectivos del sistema. Aprobación del gerente de seguridad de la información. Aprobación del coordinador de continuidad del negocio.

¿Cuál de los siguientes es el PRIMER paso para determinar el nivel adecuado de protección de los sistemas de información de la empresa?. Líneas base de seguridad. Clasificación de datos. Evaluación del riesgo. Inventario de activos.

Un hash digital garantiza: Autenticidad. Confidencialidad. Disponibilidad. Integridad.

¿Cuál de las siguientes sería la MAYOR preocupación cuando un auditor SI nota un número creciente de cambios de emergencia?. Aceleración de las liberaciones en producción. Aumento del número de incidentes de producción. Alta probabilidad de introducir deficiencias de seguridad. Documentación insuficiente de las modificaciones.