Preguntas para discusión - Formación CISA VIU
COMENTARIOS |
ESTADÍSTICAS |
RÉCORDS
|
Título del Test:
 Preguntas para discusión - Formación CISA VIU Descripción: Material de estudio Examen |
Nuevo Comentario| Comentarios |
|---|
NO HAY REGISTROS |
|
Pese a que la gerencia afirma lo contrario, un auditor de SI tiene razones para creer que la organización está utilizando software sin licencias. Ante esta situación, el auditor de SI PRIMERO debe: A. Incluir la afirmación de la gerencia en el informe. B. Verificar que el software esté en uso mediante pruebas. C. Incluir el ítem directamente en el informe de auditoría. D. Conversar el asunto con la alta gerencia. ¿Cuál de los siguientes es el MEJOR factor para determinar el alcance requerido de la recopilación de datos durante la etapa de planificación de una auditoría de cumplimiento de SI?. A. Complejidad de la operación. B. Hallazgos del año anterior. C. Propósito, objetivo y alcance de la auditoría. D. Familiaridad del auditor con la organización. ¿Cuál de las siguientes opciones representa una falta de controles adecuados?. A. Un impacto. B. Una vulnerabilidad. C. Un activo. D. Una amenaza. ¿Cuál de las siguientes opciones es el requerimiento PRINCIPAL para informar los resultados de una auditoría de SI? El informe es: A. Uso de una plantilla estándar. B. Evidencia suficiente y adecuada. C. Cobertura exhaustiva de procesos. D. Aprobación de la gerencia. La acción MÁS apropiada que debe llevar a cabo un auditor de SI cuando se descubren cuentas de usuarios compartidas es: A. Informar inmediatamente al comité de auditoría. B. Revisar los registros de auditoría. C. Documentar el hallazgo y explicar el riesgo. D. Solicitar que las cuentas sean eliminadas. Un auditor de SI está revisando los controles de seguridad para un sistema crítico basado en la web antes de implementarlo. Los resultados de la prueba de penetración no son concluyentes, y los resultados no se terminarán antes de la implementación. ¿Cuál de las siguientes opciones es la MEJOR para el auditor de SI?. A. Emitir el informe destacando riesgos y la necesidad de pruebas posteriores. B. Omitir las áreas sin evidencia concluyente. C. Solicitar retrasar la implementación. D. Posponer completamente la auditoría. El objetivo PRIMARIO de llevar a cabo una revisión posterior de un incidente es que presente una oportunidad para: A. Mejorar los procedimientos de control interno. B. Fortalecer la red según buenas prácticas. C. Resaltar la importancia del proceso ante la gerencia. D. Concienciar a los empleados. Un empleado de TI a largo plazo con sólidos antecedentes técnicos y una amplia experiencia directiva se ha postulado para un puesto vacante en el departamento de auditoría de SI. La determinación de si se contrata o no a esta persona para este puesto debe basarse PRINCIPALMENTE en la experiencia de la persona y en: A. el tiempo de servicio ya que esto ayudará a garantizar la competencia técnica. B. la edad, ya que la capacitación en técnicas de auditoría puede ser algo poco práctico. C. los conocimientos de TI, ya que esto traerá una mayor credibilidad a la función de auditoría. D. la capacidad, como un auditor de SI, de ser independiente de las relaciones de TI existentes. En auditor de SI evalúa la estructura de gobierno de TI de una organización. ¿Cuál de las siguientes opciones sería la MAYOR preocupación?. A. La alta gerencia tiene una participación limitada. B. No se mide el retorno de la inversión (ROI). C. La transferencia de costos de TI no es consistente. D. El apetito de riesgo no se cuantifica. ¿Cuál de las siguientes buenas prácticas de gobierno de TI mejora la alineación estratégica?. A. Se gestiona el riesgo de los proveedores y de los socios. B. Se ha establecido una base de conocimientos sobre los clientes, productos, mercados y procesos. C. Se proporciona una estructura que facilita la creación y el intercambio de información comercial. D. La alta gerencia actúa como mediador entre los imperativos de negocio y la tecnología. Mientras auditaba el marco general de gobierno de TI y las prácticas de gestión de riesgos de TI que existen dentro de una organización, el auditor de SI identificó algunas responsabilidades sin definir en relación con los roles de gestión y gobierno de TI. ¿Cuál de las siguientes recomendaciones es la MÁS apropiada?. A. Revisar la alineación estratégica de TI con el negocio. B. Recomendar reglas de rendición de cuentas dentro de la organización. C. Asegurar que se lleven a cabo periódicamente auditorías de SI independientes. D. Crear un rol de director de riesgo (CRO) en la organización. Al auditar el proceso de archivado interno de las comunicaciones por correo electrónico, el auditor de SI debe prestar MÁXIMA atención a: A. la existencia de una política de retención de datos. B. la capacidad de almacenamiento de la solución de archivos de seguridad. C. el nivel de conciencia del usuario con respecto al uso del correo electrónico. D. el soporte y la estabilidad del fabricante de la solución de archivos de seguridad. ¿Cuál de las siguientes opciones sería la MEJOR ayuda para priorizar las actividades de los proyectos y determinar el cronograma de un proyecto?. A. Un diagrama de Gantt. B. Análisis de valor obtenido (EVA). C. Técnica de revisión y evaluación de programas (PERT). D. Análisis de punto de función (FPA). Durante la auditoría de un paquete de software adquirido, un auditor de SI descubre que la compra del software se basó en información obtenida a través de Internet, en lugar de basarse en respuestas a una petición de propuestas (RFP). El auditor de SI PRIMERO debería: A. probar el software para su compatibilidad con el hardware existente. B. realizar un análisis de brechas. C. revisar la política de concesión de licencias. D. asegurarse que el procedimiento haya sido aprobado. ¿Cuál de las siguientes opciones es la MEJOR referencia para que un auditor de SI pueda determinar la capacidad de un proveedor de cumplir con los requerimientos del acuerdo de nivel de servicio (SLA) para un servicio de seguridad de TI crítico?. A. Cumplimiento con el acuerdo maestro. B. Métricas de rendimiento clave acordadas. C. Resultados de las pruebas de continuidad del negocio. D. Resultados de los informes de auditoría independientes. ¿Cuál de los siguientes elementos aborda específicamente cómo detectar ataques cibernéticos contra los sistemas de TI de una organización y cómo recuperarse de un ataque?. A. Un plan de respuestas a incidentes (IRP). B. Un plan de contingencia de TI. C. Un plan de continuidad del negocio (BCP). D. Un plan de continuidad de operaciones (COOP). Un auditor SI revisa las medidas de seguridad físicas de una organización. En relación con el sistema de tarjeta de acceso, el auditor SI debería estar MÁS preocupado de que: A. las tarjetas de acceso no personalizadas se entregan al personal de limpieza, que utiliza una hoja de asistencia pero no muestra prueba de identidad. B. las tarjetas de acceso no están identificadas con el nombre y la dirección de la organización para facilitar la devolución de una tarjeta perdida. C. la emisión y administración de derechos de las tarjetas se realizan en diferentes departamentos, causando un tiempo de entrega innecesario de las tarjetas nuevas. D. el sistema utilizado para programar las tarjetas sólo puede reemplazarse después de tres semanas en caso de falla del sistema. ¿Cuál de las siguientes opciones permite a un auditor de SI determinar MEJOR la efectividad de un programa de concientización y capacitación sobre seguridad?. A. Revisar el programa de capacitación sobre seguridad. B. Preguntarle al administrador de seguridad. C. Entrevistar una muestra de empleados. D. Revisar los recordatorios de seguridad para los empleados. Un disco duro que contiene datos confidenciales fue dañado sin posibilidad de reparación. ¿Qué debe hacerse con el disco duro para impedir el acceso a los datos contenidos en él?. A. Reescribir el disco duro con 0s y 1s aleatorios. B. Formatear el disco duro a bajo nivel. C. Desmagnetizar el disco duro. D. Destruir físicamente el disco duro. ¿Cuál de los siguientes es el MEJOR factor para determinar el alcance requerido de la recopilación de datos durante la etapa de planificación de una auditoría de cumplimiento de SI?. A. Complejidad de la operación de la organización. B. Hallazgos y asuntos destacados del año anterior. C. Propósito, objetivo y alcance de la auditoría. D. La familiaridad del auditor con la organización. ¿Cuál de las siguientes opciones representa falta de controles adecuados?. A. Un impacto. B. Una vulnerabilidad. C. Un activo. D. Una amenaza. ¿Cuál de las siguientes opciones es el requerimiento PRINCIPAL para informar los resultados de una auditoría de SI? El informe es: A. preparado según una plantilla estándar y predefinida. B. respaldado por evidencia de auditoría suficiente y adecuada. C. exhaustivo en la cobertura de los procesos de la empresa. D. revisado y aprobado por la gerencia de auditoría. ¿Cuál de las siguientes buenas prácticas de gobierno de TI mejora la alineación estratégica?. A. Se gestiona el riesgo de los proveedores y de los socios. B. Se ha establecido una base de conocimientos sobre los clientes, productos, mercados y procesos. C. Se proporciona una estructura que facilita la creación y el intercambio de información comercial. D. La alta gerencia actúa como mediador entre los imperativos de negocio y la tecnología. Un auditor de SI que revisa una organización que utiliza prácticas de capacitación cruzada debe evaluar el riesgo de: A. la dependencia de una sola persona. B. planificación inadecuada de la sucesión. C. que una persona conozca todas las partes de un sistema. D. una interrupción de las operaciones. ¿Cuál de las siguientes opciones es el beneficio PRINCIPAL de solicitar un comité de dirección para supervisar la inversión de TI?. A. Realizar un estudio de factibilidad para demostrar el valor de TI. B. Asegurar que las inversiones se realicen según los requisitos del negocio. C. Asegurar que se cumplan los controles de seguridad adecuados. D. Asegurar que se implemente una metodología estándar de desarrollo. Un auditor de SI estima que las limitaciones de tiempo y el incremento de las necesidades de recursos son el origen de las recientes violaciones de los estándares para la definición de los datos corporativos en un nuevo proyecto de inteligencia de negocios en una compañía. ¿Cuál de las siguientes opciones es la sugerencia MÁS apropiada que puede hacer el auditor?. A. Lograr la alineación de los estándares mediante un aumento de los recursos dedicados al proyecto. B. Alinear los estándares de definición de datos después de completar el proyecto. C. Retrasar la ejecución del proyecto hasta que se cumplan los estándares. D. Adoptar medidas punitivas contra los infractores para que se cumplan los estándares. Una empresa ha contratado a una consultora externa para implementar un sistema financiero comercial para sustituir su actual sistema desarrollado internamente. Al revisar el enfoque de desarrollo propuesto, ¿cuál de los siguientes constituiría la MAYOR preocupación?. A. Las pruebas de aceptación serán gestionadas por los usuarios. B. Un plan de calidad no es parte de las entregas contratadas. C. No todas las funciones del negocio estarán disponibles durante la implementación inicial. D. El uso de prototipos se utiliza para confirmar que el sistema cumpla con los requerimientos del negocio. Al revisar la configuración de los dispositivos de red, lo PRIMERO que debe identificar el auditor de IS es: A. las buenas prácticas para el tipo de dispositivos de red instalados. B. si faltan componentes de la red. C. la importancia de los dispositivos de red en la topología. D. si los subcomponentes de la red se están utilizando correctamente. Durante una revisión de un plan de continuidad del negocio, un auditor SI se dio cuenta de que no se ha definido el punto en el que una situación se declara como crisis. El riesgo más GRANDE asociado a esto es que: A. se podría retrasar la evaluación de la situación. B. el plan de recuperación de desastres podría verse afectado. C. podría no ocurrir la notificación de los equipos. D. el reconocimiento de crisis potenciales podría no ser efectivo. El CSIRT de una organización difunde descripciones detalladas de amenazas recientes. La MAYOR preocupación de un auditor SI debería ser que los usuarios puedan: A. utilizar esta información para lanzar ataques. B. compartir el alerta de seguridad. C. implementar soluciones individuales. D. no comprender la amenaza. ¿Cuál de las siguientes opciones permite a un auditor de SI determinar MEJOR la efectividad de un programa de concientización y capacitación sobre seguridad?. A. Revisar el programa de capacitación sobre seguridad. B. Preguntarle al administrador de seguridad. C. Entrevistar una muestra de empleados. D. Revisar los recordatorios de seguridad para los empleados. |