Una característica de un buen Auditor de Sistemas es: Debe ser un experto en el área contable. Debe estar en constante capacitación para ser competente con los trabajos que realice. Debe procurar solicitar la participación en todos los trabajos de auditoría que sean realizados. Debe tener conocimientos en administración de empresas.
Lo controles MENOS confiables son: Los controles de preventivos combinados con los controles manuales. Los controles preventivos combinados con los controles automáticos. Los controles detectives combinados con los controles manuales. Los controles detectives combinados con los controles automatizados.
Una amenaza se puede definir como: Una medida orientada a mitigar de alguna forma los riesgos que puedan existir en una empresa. Una vulnerabilidad identificada dentro de una empresa. Un agente o evento que puede explotar una vulnerabilidad identificada dentro de una empresa. Una serie de eventos desafortunados que activan un plan de emergencia en una empresa.
¿Cuál de lo siguiente describe MEJOR las primeras etapas de una auditoria de SI? Observar las instalaciones organizacionales clave. Evaluar el entorno de SI. Entender el proceso del negocio y el entorno aplicable a la revisión. Revisar los informes de auditoría de SI anteriores.
El riesgo general del negocio para una amenaza en particular se puede expresar como: Un producto de la probabilidad y de la magnitud del impacto si una amenaza explotara exitosamente una vulnerabilidad. La magnitud del impacto si una fuente de amenaza explotara exitosamente la vulnerabilidad. La probabilidad de que cierta fuente de amenaza explotara cierta vulnerabilidad. La opinión colectiva del equipo de evaluación de riesgos.
Qué evidencia sería mucho MÁS confiable en un trabajo de auditoría: Una evidencia cuyo contenido no puede ser leído por el auditor. Una evidencia proporcionada por el auditado sobre la ejecución de su propio trabajo. Una evidencia proporcionada por un externo independiente a la organización. Una evidencia identificada pero de contenido incompleto.
A quien deben ser dirigidos principalmente los resultados de una auditoría?: Al Jefe de un área en particular. Al Gerente General de una empresa. Al nivel de jerarquía más alto en una empresa. A los mismos auditados.
Durante una auditoría de seguridad de procesos de TI, un auditor de SI encontró que no había procedimientos de seguridad documentados. El auditor de SI debe: Crear el documento de procedimientos. Dar por terminada la auditoría. Llevar a cabo pruebas de cumplimiento. Identificar y evaluar las prácticas existentes.
Revisar los planes estratégicos a largo plazo de la gerencia ayuda al auditor de SI a: Lograr un entendimiento de las metas y objetivos de una organización. Probar los controles internos de la empresa. Determinar si la organización puede confiar en los sistemas de información. Determinar el número de recursos de auditoría que se necesitan.
EI objetivo PRIMARIO de una función de auditoría de SI es: Determinar si todos usan los recursos de SI de acuerdo con su descripción del trabajo. Determinar si los sistemas de información salvaguardan activos, y mantienen la integridad de datos. Examinar libros de contabilidad y evidencia documentaria relacionada para el sistema computa rizado. Determinar la capacidad de la organización para detectar fraude.
En un enfoque de auditoría basado en el riesgo un Auditor de SI debería primero realizar: Una evaluación del riesgo inherente. Una evaluación del riesgo de control. Una prueba de evaluación de control. Una evaluación de prueba sustantiva.
Los auditores de SI que hayan participado en el desarrollo de un sistema de aplicación podrían hacer que su independencia se viera impedida si: Realizaran una revisión del desarrollo de aplicación. Recomendaran aumentos de control y de otros sistemas. Realizaran una evaluación independiente de la aplicación después de su implementación. Participaran activamente en el diseño e implementación del sistema de aplicación.
El phishing consiste en: Adquirir información confidencial de forma fraudulenta del mismo usuario. Adquirir información de cualquier forma empleando ingeniería social. Adquirir información "pescando" paquetes de datos que viajan por Internet. Adquirir información interceptando llamadas sin que el usuario se entere.
Cuál sería la MEJOR ubicación para un sitio de procesamiento alterno: Ubicarlo en el edificio de al frente a las oficinas principales para que el tiempo de respuesta sea mínimo. Ubicarlo a 45 km de distancia a pesar que su costo puede ser alto. Ubicarlo en el edificio de aliado a las oficinas principales para que el tiempo de respuesta sea el menor. Ubicarlo a 1km de distancia para minimizar costos y rotar al personal entre ambas ubicaciones.
Un estudio de análisis de impacto del negocio ayudará a: Identificar los RTO (Recovery Time Objective) de los procesos del negocio. Identificar los RTO (Recovery Time Objective) de los procesos más grandes del negocio. Identificar los RTO (Recovery Time Objective) de los procesos operativos del negocio. Identificar los RTO (Recovery Time Objective) de los procesos críticos del negocio.
Cuál es la afirmación correcta: ISO 27002 es un Código de Buenas Prácticas para la Seguridad de la Información. ISO 27001 provee Especificaciones para los Sistemas de Gestión de Calidad de la Información. ISO 27002 es un Código de Buenas Prácticas para la Implementación de Planes de Continuidad. ISO 27001 provee Especificaciones para los Sistemas de Gestión de Continuidad de la Información.
Las técnicas de auditoría basadas en computadoras consisten en: Un conjunto de herramientas de software que ayudan al auditor de sistemas. Un conjunto de mejores prácticas para auditar la información que puede contener un computador. Un conjunto de técnicas y herramientas que emplea el auditor para recolectar información de los ambientes computarizados. Un conjunto de guías de auditorías basadas en ISO 27001 para automatizar el trabajo del auditor con total seguridad.
Una instalación de respaldo fuera del lugar que tenga cableado eléctrico, aire acondicionado, piso falso, etc. pero ningún equipo de computo o de comunicaciones, destinada a operar una instalación de procesamiento de información es mejor conocida como: Sitio alterno frío. Sitio alterno caliente. Sitio alterno espejo. Sitio alterno incompleto.
Después de realizar el análisis de impacto del negocio (BIA) Cuál de las siguientes es el paso siguiente en el proceso de planeación de la continuidad del negocio? Probar y mantener el plan. Desarrollar un plan específico. Desarrollar estrategias de recuperación. Implementar el plan.
Un auditor de SI ha auditado un plan de continuidad del negocio (BCP). Cuál de los siguientes hallazgos, es el MÁS crítico? La no disponibilidad de una central telefónica (PBX). La ausencia de guardias a la entrada del centro de cómputo. La falta de sistemas de respaldo para las PCs de los usuarios. La falla de sistema de tarjeta de acceso.
Un Sistema de Gestión de la Seguridad de la Información consiste en: Un conjunto de controles basados en ISO 27001. La planificación, ejecución, verificación y mejora continua de un conjunto de controles que permitan reducir el riesgo de sufrir incidentes de seguridad. La identificación de los procesos críticos de un negocio para precautelar sus activos de tecnología. Considerar un conjunto de controles basados en ISO 27002. .
Para realizar un plan de continuidad del negocio se debe realizar primero: Identificar los procesos críticos del negocio. Identificar el hardware y el software que son críticos para el negocio. Realizar un análisis de criticidad del negocio. Realizar un análisis de riesgos del negocio.
En un Plan de Continuidad del Negocio: Se debe considerar el revelar la ubicación del sitio alterno para que los clientes puedan ir y continuar con sus operaciones. Nunca se debe revelar la ubicación del sitio alterno. La ubicación de un sitio alterno debe estar en pleno conocimiento de todos en una empresa, incluyendo los clientes. El sitio alterno y el sitio principal deben estar ubicados en el mismo lugar.
Por lo general, cuales son las aplicaciones informáticas más utilizadas por los auditores a nivel mundial: ACL y Auto Audit. Audimaster e IDEA. IDEA y Auto Audit. IDEA y ACL. .
Después de realizar el análisis de impacto del negocio (BIA) Cuál de Jos siguientes es el paso siguiente en el proceso de planeación de la continuidad del negocio? Probar y mantener el plan. Desarrollar un plan específico. Desarrollar estrategias de recuperación. Implementar el plan.
Un auditor de SI que revisa el plan de recuperación de desastre de una organización debería verificar que sea: Probado cada 6 meses. Revisado y actualizado periódicamente. Aprobado por el Director Ejecutivo Jefe (CEO). Comunicado a todas las direcciones de departamento de la organización.
La seguridad de la información preserva: Confidencialidad, totalidad y disponibilidad de la información. Continuidad, integridad y disponibilidad de la información. Confidencialidad, integridad y disponibilidad de la información. Continuidad, integridad y coherencia de la información.
Una instalación de respaldo fuera del lugar que tenga cableado eléctrico aire acondicionado, piso falso, etc. pero ningún equipo de cómputo o de comunicaciones, destinada a operar una instalación de procesamiento de información es mejor conocida como: Cold site. Warm site. Dial up site. Instalación de procesamiento duplicado.
COBIT ES: Un estándar de seguridad utilizado a nivel internacional. Un marco de trabajo o de referencia de uso libre. Un compendio de trabajo de uso restringido sólo a Gerentes de empresas. Una guía de seguridad aplicada a la continuidad del negocio.
Una instalación de procesamiento de información fuera del sitio: Debería tener la misma cantidad de restricciones de acceso físico que el sitio de procesamiento primario Debería ser fácilmente identificada desde el exterior para que en el caso de una emergencia pueda ser encontrada con facilidad. Debería estar ubicada en la proximidad del sitio que la origina para que puede ser puesta en operación rápidamente. No necesita tener el mismo nivel de monitoreo ambiental que el sitio que la origina.
Un plan de recuperación de desastre se ocupa de: El aspecto tecnológico de una planeación de continuidad del negocio. La parte operativa de una planeación de continuidad del negocio. El aspecto funcional de una planeación de continuidad del negocio. La coordinación general de una planeación de continuidad del negocio.
Cuál de los siguientes componentes de un plan de continuidad del negocio es PRIMARIAMENTE responsabilidad del departamento de SI de una organización?: Desarrollar el plan de continuidad del negocio. Seleccionar y aprobar la estrategia para el plan de continuidad del negocio. Declarar un desastre. Restaurar los sistemas de SI y los datos después de un desastre.
Para efectos de un adecuado informe de auditoría, se pueden encontrar controles en: La Norma ISO 27002. La Norma ISO 27001. La Norma ISO 12207. La experiencia y el criterio del auditor.
Un Hacker de "sombrero negro" es también conocido como: Hacker. Cracker. Luser. Newbie.
La diferencia entre el Sujeto y el Alcance en una Auditoria de Sistemas es: El Alcance se refiere al área de revisión, mientras que el Sujeto indica el detalle específico de la revisión. El Sujeto se enfoca en la identificación de los recursos y el Alcance en la cantidad de los recursos a utilizar. El Sujeto se enfoca en la identificación de las pruebas de cumplimiento y el Alcance en la identificación de las pruebas sustantivas. El Alcance se refiere al detalle específico de la revisión, mientras que el Sujeto identifica al área de revisión.
Revisar los planes estratégicos a largo plazo de la gerencia ayuda al auditor de SI a: Lograr un entendimiento de las metas y objetivos de una organización. Probar los controles internos de la empresa. Determinar si la organización puede confiar en los sistemas de información. Determinar el número de recursos de auditoría que se necesitan.
Una característica de un buen Auditor de Sistemas es: Debe ser un experto en el área contable. Debe estar en constante capacitación para ser competente con los trabajos que realice. Debe procurar solicitar la participación en todos los trabajos de auditoría que sean realizados. Debe tener conocimientos en administración de empresas.
Qué evidencia sería mucho MÁS confiable en un trabajo de auditoría: Una evidencia cuyo contenido no puede ser leído por el auditor. Una evidencia proporcionada por el auditado sobre la ejecución de su propio trabajo. Una evidencia proporcionada por un externo independiente a la organización. Una evidencia identificada, pero de contenido incompleto.
Los controles MENOS confiables son: Los controles de preventivos combinados con los controles manuales. Los controles preventivos combinados con los controles automáticos. Los controles detectives combinados con los controles manuales. Los controles detectives combinados con los controles automatizados.
Cuál de lo siguiente describe MEJOR las primeras etapas de una auditoria de SI? Observar las instalaciones organizacionales clave. Evaluar el entorno de SI. Entender el proceso del negocio y el entorno aplicable a la revisión. Revisar los informes de auditoría de SI anteriores.
El riesgo general del negocio para una amenaza en particular se puede expresar como Un producto de la probabilidad y de la magnitud del impacto si una amenaza explotara exitosamente una vulnerabilidad. La magnitud del impacto si una fuente de amenaza explotara exitosamente la vulnerabilidad. La probabilidad de que cierta fuente de amenaza explotara cierta vulnerabilidad. La opinión colectiva del equipo de evaluación de riesgos.
Durante una auditoría de seguridad de procesos de TI, un auditor de SI encontró que no había procedimientos de seguridad documentados. El auditor de SI debe: Crear el documento de procedimientos. Dar por terminada la auditoria. Llevar a cabo pruebas de cumplimiento. Identificar y evaluar las prácticas existentes.
En un enfoque de auditoría basado en el riesgo un Auditor de SI debería primero realizar: Una evaluación del riesgo inherente. Una evaluación de prueba sustantiva. Una evaluación del riesgo de control. Una prueba de evaluación de control.
En qué situación es MEJOR utilizar una prueba sustantiva: En la evaluación de una política de control de acceso a un centro de cómputo. En la evaluación de la documentación de un manual de usuario- de una aplicación de ventas. En la evaluación del cálculo de interés de una cuenta de ahorros. En la evaluación del control de cambios sobre una aplicación de ventas.
Porqué un Auditor de Sistemas debería revisar el organigrama de la empresa a auditar? Para optimizar la responsabilidad y autoridad otorgada a los miembros de la empresa. Para controlar las responsabilidades y autoridad de los miembros de la empresa. Para obtener un mejor entendimiento de las responsabilidades y nivel de autoridad en los miembros de la empresa. Para identificar a los responsables de un proyecto.
El objetivo PRIMARIO de una prueba de cumplimiento es verificar si: Un control está implementado de acuerdo a como está escrito. La documentación es exacta y documentada. · Los accesos a los usuarios son provistos como están especificados. Los procedimientos de validación de datos son proporcionados.
El plan que esta dirigido a la restauración de los procesos comerciales después de una emergencia, se refiere a: Plan de Continuidad de Operaciones. Plan de Crisis de Comunicaciones. Plan de Crisis de Comunicación. Plan de Recuperación de Desastre.
Los pilares para mantener un Sistema de Información son: Rapidez, Facilidad, Astucia Disposicion, Interaccion, Confienza Disponibilidad, Integridad, Confidencialidad Confidencialidad, Disposicion, Integracion.
|
