Formacion CISA - VIU

1. ¿Cuál es el objetivo PRINCIPAL de una auditoría de sistemas de información?. A. Detectar fraudes financieros. B. Evaluar la eficiencia del personal de TI. C. Determinar si los SI protegen activos y apoyan los objetivos del negocio. D. Revisar exclusivamente controles técnicos.

2. ¿Qué principio de auditoría establece que las conclusiones deben ser verificables y reproducibles?. A. Independencia. B. Confidencialidad. C. Enfoque basado en evidencia. D. Presentación imparcial.

3. Un control diseñado para evitar que ocurra un error es un control: A. Detectivo. B. Correctivo. C. Preventivo. D. Compensatorio.

4. ¿Qué tipo de auditoría evalúa la eficiencia y eficacia de los procesos?. A. Financiera. B. Operativa. C. De cumplimiento. D. Forense.

5. ¿Cuál es la forma de evidencia MÁS confiable para un auditor SI?. A. Declaración oral del auditado. B. Informe interno generado por el sistema. C. Confirmación recibida de una fuente externa. D. Opinión de la gerencia.

6. ¿Cuál es el objetivo de una planificación de auditoría basada en riesgos?. A. Reducir el tiempo de auditoría. B. Auditar todos los procesos por igual. C. Enfocar el esfuerzo en las áreas de mayor impacto. D. Eliminar pruebas sustantivas.

7. ¿Qué documento define la autoridad, propósito y responsabilidad de la auditoría interna?. A. Carta de compromiso. B. Estatuto de auditoría. C. Programa de auditoría. D. Informe final.

8. ¿Cuál es el objetivo del seguimiento de auditoría?. A. Repetir las pruebas. B. Verificar la implementación de acciones correctivas. C. Emitir un nuevo informe. D. Ampliar el alcance de la auditoría.

9. ¿Qué técnica permite analizar grandes volúmenes de datos de forma eficiente?. A. Entrevistas. B. Observación directa. C. CAATs. D. Walkthrough.

10. ¿Cuál es una característica clave de la auditoría continua?. A. Se realiza una vez al año. B. Depende solo de controles manuales. C. Permite evaluaciones casi en tiempo real. D. Sustituye completamente la auditoría tradicional.

11. ¿Quién es responsable de tomar acciones correctivas tras una auditoría?. A. Auditor SI. B. Comité de auditoría. C. Gerencia. D. Consejo de dirección.

12. ¿Qué debe respaldar obligatoriamente un informe de auditoría?. A. Aprobación de la gerencia. B. Evidencia suficiente y apropiada. C. Lenguaje técnico detallado. D. Estrategia de TI.

13. Ante una sospecha de uso de software sin licencia, el auditor SI debe PRIMERO: A. Incluirlo en el informe. B. Escalarlo al comité de auditoría. C. Verificarlo mediante pruebas. D. Informar a la alta dirección.

14. ¿Quién tiene la responsabilidad FINAL del gobierno de TI?. A. CIO. B. Comité de TI. C. Consejo de dirección. D. Auditor SI.

15. ¿Qué marco está orientado específicamente al gobierno de TI?. A. ITIL. B. COBIT. C. PMBOK. D. ISO 20000.

16. ¿Qué mejora más la alineación estratégica entre TI y negocio?. A. Indicadores técnicos. B. Participación de la alta dirección. C. Externalización de TI. D. Auditorías frecuentes.

17. ¿Qué define el apetito de riesgo?. A. Riesgo residual. B. Nivel de riesgo aceptable. C. Impacto máximo. D. Probabilidad de ocurrencia.

18. ¿Cuál es una respuesta válida al riesgo?. A. Ignorarlo. B. Transferirlo. C. Postergarlo indefinidamente. D. Documentarlo únicamente.

19. ¿Qué documento expresa la intención y dirección de la gerencia?. A. Procedimiento. B. Política. C. Estándar. D. Manual técnico.

20. ¿Qué funciones deben estar segregadas?. A. Desarrollo y pruebas. B. Autorización y custodia. C. Soporte y monitoreo. D. Auditoría y control.

21. ¿Qué se utiliza para medir el desempeño de TI?. A. KPI. B. RTO. C. RPO. D. BIA.

22. ¿Qué ciclo se usa para la mejora continua?. A. SDLC. B. PDCA. C. BPR. D. CSA.

23. ¿Cuál es un beneficio clave del EGIT?. A. Reducción de personal. B. Mejor alineación negocio–TI. C. Eliminación de riesgos. D. Automatización total.

24. ¿Cuál es el propósito del caso de negocio?. A. Aprobar controles. B. Justificar la inversión. C. Diseñar arquitectura. D. Evaluar seguridad.

25. ¿Cuándo debe involucrarse el auditor en el SDLC?. A. Solo al final. B. En todas las fases. C. Durante pruebas. D. En producción.

26. ¿Qué prueba valida que el sistema cumple requerimientos del negocio?. A. Prueba unitaria. B. Prueba de integración. C. UAT. D. QA.

27. ¿Qué método de implementación reduce más el riesgo?. A. Cambio abrupto. B. Paralelo. C. Directo. D. Piloto único.

28. ¿Quién aprueba la exactitud de los datos migrados?. A. Auditor SI. B. DBA. C. Propietario de los datos. D. Gerente de TI.

29. ¿Qué proceso controla versiones y configuraciones?. A. Gestión de cambios. B. Gestión de configuración. C. Gestión de incidentes. D. Gestión de riesgos.

30. ¿Qué se evalúa en una revisión post-implementación?. A. Pruebas UAT. B. Retorno de la inversión. C. Desarrollo del sistema. D. Seguridad física.

31. ¿Qué documento se utiliza para seleccionar proveedores?. A. SLA. B. RFP. C. BIA. D. DRP.

32. ¿Qué proceso restaura el servicio lo más rápido posible?. A. Gestión de problemas. B. Gestión de incidentes. C. Gestión de cambios. D. Gestión de riesgos.

33. ¿Qué analiza el BIA?. A. Amenazas técnicas. B. Impacto de interrupciones. C. Vulnerabilidades. D. Controles físicos.

34. ¿Qué define el RTO?. A. Pérdida aceptable de datos. B. Tiempo máximo de recuperación. C. Frecuencia de respaldo. D. Nivel de servicio.

35. ¿Qué tipo de sitio permite recuperación inmediata?. A. Cold site. B. Warm site. C. Hot site. D. Reciproco.

36. ¿Qué es un SLA?. A. Control técnico. B. Acuerdo de nivel de servicio. C. Política de TI. D. Estándar.

37. ¿Qué riesgo es común en EUC?. A. Exceso de controles. B. Falta de pruebas. C. Alto costo. D. Lenta implementación.

38. ¿Qué marco guía la gestión de servicios de TI?. A. COBIT. B. ITIL. C. ISO 27001. D. PMBOK.

39. ¿Qué tipo de respaldo requiere menos tiempo?. A. Completo. B. Incremental. C. Diferencial. D. Espejo.

40. ¿Qué proceso controla cambios en producción?. A. Gestión de versiones. B. Gestión de configuración. C. Gestión de cambios. D. Gestión de incidentes.

41. ¿Qué riesgo tiene un acuerdo recíproco?. A. Falta de contratos. B. Afectación por el mismo desastre. C. Alto costo. D. Baja disponibilidad.

42. ¿Quién es responsable del BCP?. A. Auditor. B. TI. C. Alta gerencia. D. Comité de TI.

43. ¿Qué prueba valida realmente un BCP?. A. Entrevistas. B. Simulación. C. Auditoría documental. D. Walkthrough.

44. ¿Qué es un DRP?. A. Plan estratégico. B. Plan de restauración de TI. C. Política de riesgo. D. Control técnico.

45. ¿Qué es un “cisne negro”?. A. Evento frecuente. B. Evento predecible. C. Evento raro y de alto impacto. D. Evento controlable.

46. ¿Qué documento controla expectativas del servicio?. A. KPI. B. SLA. C. RPO. D. BIA.

47. ¿Cuál NO es un principio de seguridad?. A. Confidencialidad. B. Integridad. C. Disponibilidad. D. Escalabilidad.

48. ¿Quién clasifica los datos?. A. Auditor. B. TI. C. Propietario de la información. D. Usuario.

49. ¿Qué método es más seguro para un disco dañado?. A. Formateo. B. Sobrescritura. C. Desmagnetización. D. Destrucción física.

50. ¿Qué controla el acceso lógico a recursos?. A. CCTV. B. Firewall. C. ACL. D. UPS.

51. ¿Qué principio limita accesos innecesarios?. A. Necesidad de saber. B. Integridad. C. Autenticación. D. Privacidad.

52. ¿Qué es autenticación multifactor?. A. Usuario y contraseña. B. Token y PIN. C. ACL. D. VPN.

53. ¿Cuál es el objetivo principal de DLP?. A. Detectar malware. B. Evitar fuga de datos. C. Controlar accesos. D. Gestionar parches.

54. ¿Qué protege aplicaciones web?. A. Firewall de red. B. IDS. C. WAF. D. Proxy.

55. ¿Qué riesgo presenta Shadow IT?. A. Mayor seguridad. B. Falta de control. C. Reducción de costos. D. Mejor rendimiento.

56. ¿Qué protege datos en tránsito?. A. Hash. B. Cifrado. C. Logs. D. ACL.

57. ¿Qué garantiza no repudio?. A. Hash. B. Firma digital. C. VPN. D. ACL.

58. ¿Qué función cumple una CA en PKI?. A. Registrar accesos. B. Emitir certificados. C. Auditar sistemas. D. Autenticar usuarios finales.

59. ¿Qué prueba de penetración evalúa respuesta real sin aviso?. A. Externa. B. Ciega. C. Doble ciega. D. Dirigida.

60. ¿Cuál es la MEJOR defensa contra phishing?. A. IDS. B. Antivirus. C. Autenticación fuerte. D. Concienciación del usuario.